Soy pyme y he violado el Reglamento de Protección de Datos. ¿Qué debo hacer?
La normativa te obliga a actuar de una forma concreta, incluso aunque hayas puesto en marcha medidas para evitar fugas de información protegida.
Aunque hayamos puesto en marcha medidas pertinentes para cumplir con el Reglamento General de Protección de Datos, los accidentes ocurren. Se pueden dar circunstancias, como las descritas a continuación, que pueden provocar la pérdida, modificación o difusión de datos personales. Robos de información física, la intervención de hackers o errores humanos que provocan que violemos la normativa, incluso aunque hayamos puesto de por medio todas las herramientas posibles para no hacerlo. ¿Qué debe hacer una pyme o un autónomo en estos casos? ¿A qué está obligada por Ley?
Lo que marca la Ley ante violaciones (intencionadas o no) del RGPD
Tener definido un procedimiento de gestión de brechas de seguridad; disponer de herramientas para valorar el riesgo del incidente y saber si deberá notificar a la autoridad de control y a los interesados. Esto es lo que deben hacer las pymes en caso de incumplimiento del nuevo Reglamento de Protección de Datos.
Es la recomendación de la abogada de Elzaburu Cristina Espín, quien recuerda que el Reglamento Europeo de Protección de Datos surgió como medida de prevención para evitar brechas de seguridad, entendidas como los incidentes que causen destrucción pérdida o alteración de datos personales, sean accidentales o intencionados.
Los ejemplos de violaciones de seguridad en las empresas no se limitan a robos físicos de soportes, como un lápiz de memoria o la entrada de un hacker al sistema, sino también el envío accidental de una lista de correos que aparece visible en el e-mail, compartir una contraseña personal con un empleado o accesos no autorizados a los datos por una tercera parte. En todos estos casos, se produce una violación de protección de datos, advierten, y, en algunos de los casos, hay obligación de notificar el incidente.
En caso de tener que notificar el accidente, esta notificación debe hacerse cuando el incidente pueda provocar un riesgo para los interesados. Y debe ser, por tanto, en el plazo de 72 horas desde que se tiene certeza de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto.
Las brechas de seguridad se mantienen
El despacho jurídico, especializado en la protección de activos intangibles, asegura que en realidad, el número de brechas de seguridad no ha aumentado desde el 25 de mayo, sino que hasta ahora la normativa no contemplaba la obligación de notificar una violación de seguridad, salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el Reglamento extiende esta obligación a cualquier empresa que trate datos.