Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
RESUMEN
El miércoles último, 3 de febrero la
Comisión Nacional de Informática y Libertades de Francia, CNIL, publicó las
Líneas Directrices del Consejo Europeo de Protección de Datos, que comprenden
dieciocho casos prácticos, agrupados en seis ejes, a fin de ayudar a los responsables de los
tratamientos de datos personales europeos a cumplir con sus obligaciones y
reaccionar a las diferentes situaciones que se presentan en caso de violación.
El presente artículo ha sido traducido del francés al castellano por el suscrito con la ayuda del traductor de Google. El texto original se encuentra en el siguiente enlace: https://www.cnil.fr/fr/violation-de-donnees-le-xepd-publie-des-lignes-directrices-partir-de-cas-pratiques El texto comporta además otros enlaces a recursos relacionados al tema y palabras claves asociadas.
Para aquellos que desean profundizar sobre el concepto de "robo de identidad" defendido por la doctrina anglo sajona, es necesario tener en cuenta dos artículos anteriores aparecidos en este mismo Blog, relacionados con el concepto antagonista de "Usurpación de la Identidad y Tecnologías" que publicara en dos entregas: https://derecho-ntic.blogspot.com/2017/10/la-usurpacion-de-identidad-y.html producto de la investigación de Guy de Felcourt publicada por Editions du CNRS[1], y en el libro: “Derecho de Personas e Informática. Identidad Digital”, publicado en Perú por el suscrito en Ediciones Grijley en 2016.
Violación de datos: El EDPB publica líneas directrices a partir de casos prácticos.
03 de febrero de 2022
El Reglamento General de Protección de Datos Personales, RGPD enmarca la gestión de las violaciones de datos personales. Con el fin de ayudar a los responsables del tratamiento a cumplir con sus obligaciones y reaccionar de forma adecuada según las situaciones, el Consejo Europeo de Protección de Datos (EDPB) ha publicado algunas líneas directrices que comprenden 18 casos prácticos.
Obligaciones
previstas por el RGPD
El RGPD
introduce la obligación de registrar, en un registro interno, todas las
violaciones de datos personales. En ciertos casos, también prevé de notificar la violación al la autoridad a cargo
de la protección de datos (de cada país miembro de la Unión Europea (la CNIL en
Francia) y de comunicar el
incumplimiento a las personas cuyos datos personales hayan sido afectados.
El G29,
que precedió al EDPS antes de la entrada en vigor del RGPD en 2018, ya había
elaborado una orientación general sobre
la notificación de las violaciones de datos en octubre de 2017,
analizando las secciones relevantes del RGPD.
Dada la
diversidad de situaciones a las que se enfrentan los responsables del
tratamiento, el SEPD complementó este primer trabajo por la presentación de casos prácticos, basados en las experiencias
adquiridas por las autoridades de protección de datos en los últimos años.
Toma en cuenta de
los principales tipos de violaciones de datos personales.
Estas líneas directrices están
destinadas a ayudar a las organizaciones a tratar las violaciones de datos y
los factores a tomar en consideración durante la evaluación del riesgo.
Los 18 casos prácticos
identificados cubren una gran parte de
los diferentes tipos de violaciones de datos personales que pueden
encontrarse y precisan las obligaciones
a seguir según las situaciones. Para cada caso, se indica en particular si
la autoridad debe ser notificada y si la violación debe ser comunicada a las
personas afectadas:
1. Ransomware:
·
Sin
exfiltración de datos y con salvaguarda;
·
Sin
salvaguarda;
·
En
un hospital (con salvaguarda y sin exfiltración);
·
Con
exfiltración y sin salvaguarda.
2. Ataques de
exfiltración de datos:
·
Exfiltración
de datos de candidaturas de ofrecimiento de empleo;
·
Exfiltración
de contraseñas cifradas;
·
Relleno
de identificantes en un sitio bancario (credential stuffing).
3. Fuente interna
de riesgo humano:
·
Exfiltración
de datos de empresa por parte de un empleado;
·
Transmisión
accidental a un tercero.
4. Dispositivos o
documentos en soporte papel perdidos o robados:
·
Material
(Hardware) robado que almacena datos personales cifrados;
·
Material
(Hardware) robado que almacena datos
personales no cifrados;
·
Documentos
en soporte papel robados conteniendo datos sensibles.
5. Error de envío:
·
Error
de envío postal de facturas de compras en línea;
·
Datos
personales altamente confidenciales enviados por correo electrónico por error;
·
Datos
personales enviados por correo electrónico por error;
·
Error
de envío postal de documentos de seguros.
6. Ingeniería
social:
·
Robo
de identidad;
·
Exfiltración
de correos electrónicos.
Las líneas directrices
del SEPD
Para profundizar
>
Violaciones
de datos personales
>
Notificar
una violación de datos personales
Textos de
referencia
> Artículo
33 del RGPD (notificación a la autoridad de control de una violación de datos
personales)
> Artículo
34 del RGPD (comunicación al interesado de una violación de datos personales)
Palabras claves
asociadas con este artículo
•
#Violación de datos
•
#Líneas Directrices
•
#EDPS
No hay comentarios:
Publicar un comentario