Cómo notificar las violaciones de seguridad paso a paso

El RGPD define violación de seguridad como cualquier violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o comunicados de forma no autorizada.

El responsable de tratamiento de una entidad de /Salud deberá comunicar las violaciones de seguridad de los datos a la autoridad de control cuando comporten un riesgo para los derechos y libertades de las personas. Y en casos de alto riesgo, también a los afectados. Esta obligación se hace extensible a todas aquellas entidades que lleven a cabo un tratamiento de datos personales.

Cuando la entidad se encuentra frente a un accidente de seguridad como el entrada indebido, olfateando, malware o compromiso de credenciales, entre otros, deberá valorar si éste ha afectado a los datos personales de los interesados ​​y proceder en consecuencia.

Desde el momento en que se tiene constancia de que la violación afecta a los derechos y libertades de las personas, la persona designada se pondrá en contacto con el Delegado de Protección de Datos. Éste asesorará al CPD o persona designada por la entidad y al Comité de seguridad y protección de datos; supervisará el cumplimiento de la normativa de protección de datos; y actuará como punto de contacto con la Autoridad, tal y como deberá indicarse a través de un formulario de notificación.

¿Qué tipos de violación de seguridad existen?

Violación de confidencialidad

Cuando partes no autorizadas o sin propósito legítimo accedan a los datos personales.

La gravedad de la pérdida de confidencialidad deberá analizarse junto con el alcance de su divulgación, es decir, número potencial y tipos de partes que pueden haber accedido a la información.

Violación de integridad

Cuando existe alteración de la información original y la sustitución de datos que presentan riesgo perjudicial por el individuo.

Violación de disponibilidad

Cuando sea necesario, no se puede ceder a los datos originales. Esta violación puede ser temporal (datos recuperables) o permanente (datos no recuperables).

En el caso de tratamientos transfronterizos las violaciones de seguridad pueden afectar a los datos personales en más de un estado miembro. En estos casos, cada autoridad de control será competente para desarrollar las funciones que se le asignan y para ejercer los poderes que tiene conferidos de acuerdo con el reglamento, en el territorio de su Estado miembro.

Cuando el tratamiento lo lleven a cabo autoridades públicas que actúen de conformidad con el artículo 6, apartado 1, letras c) oe), la autoridad de control competente será la del Estado miembro de que se trate.

Violaciones de seguridad en el ámbito de la investigación

En el ámbito de investigación con datos de salud, existen dos elementos que añaden complejidad a la gestión de las notificaciones de las violaciones de seguridad:

Complejidad normativa en el ámbito de la investigación

En función del tipo de proyecto debemos estar en la normativa específica que la regula el proyecto concreto. Cada norma establece una serie de obligaciones específicas y diferentes en relación con el tratamiento de los datos utilizados en el proyecto de investigación, como por ejemplo el plazo de conservación de los datos, o las comunicaciones a terceros.

Complejidad para determinar la responsabilidad del tratamiento

Existen varios actores que tratan datos (centro hospitalario, promotor, fundación que gestiona la investigación, monitor,…) y es necesario determinar cuáles son las relaciones que se establecen entre ellos (responsable del tratamiento, corresponsables, encargado de tratamiento) para determinar quien evaluará y comunicará la violación de seguridad.

Para más información puede contactar con la Oficina del Delegado de Protección de Datos de Salud en dpdicsalutsocial.cat o bien consultar el sitio web www.dpdsalut.cat



Publicación original
Cómo notificar las violaciones de seguridad paso a paso
A %d blogueros les gusta esto: