Gravedad de la filtración de datos
¿Cómo se calcula la gravedad de la violación de los datos según el regulador del RGPD?
No es un cálculo matemático y dependerá del regulador. El regulador se fijará en algunos puntos:
DESCARGUE NUESTRO EBOOK GRATUITO
- Tipo de infracción. Si el incumplimiento implica la divulgación de datos personales (a "violación de la confidencialidad"), la pérdida de acceso o la destrucción de datos personales (un "incumplimiento de la disponibilidad"), y/o la alteración de los datos personales (un "violación de la integridad") puede afectar al riesgo para los interesados.
- Naturaleza, sensibilidad y volumen de los datos personales. Las directrices establecen que las violaciones que afectan a datos personales sensibles -incluidas las "categorías especiales" de datos relativos al origen racial o étnico, las opiniones políticas, la sexualidad, las creencias religiosas o filosóficas, la pertenencia a sindicatos, los datos sanitarios o genéticos, o las condenas penales, y otros datos sensibles como los documentos de identidad o los datos financieros- tienen más probabilidades de ser de alto riesgo. Las violaciones que implican una combinación de datos personales suelen ser más arriesgadas que las que afectan a un solo dato personal (no sensible).
- La gravedad de las consecuencias para los individuos. Las Directrices señalan identificar el roboLa violación de la confidencialidad, el fraude, el daño físico, la angustia psicológica, la humillación y el daño a la reputación son consecuencias potenciales especialmente graves. La permanencia de cualquier consecuencia y, en el caso de una violación de la confidencialidad, la fiabilidad o la malicia del receptor no autorizado de los datos personales son también factores a considerar.
- Número y características de las personas afectadas. Las Directrices señalan que es probable que el impacto de la infracción sea mayor cuando se ve afectado un mayor número de personas. Las violaciones que afectan a niños u otras personas vulnerables pueden ser de mayor riesgo que las que no lo hacen.
- Facilidad de identificación de las personas de los datos personales afectados, incluyendo si los datos son seudónimos.
¿Qué debe hacer ante la gravedad de la violación de datos?
Pero lo más importante es demostrar que su empresa ha hecho todo lo posible:
- ¿ha notificado la violación de datos al regulador 72 horas después de haber tenido conocimiento de ella?
- ¿Grabaste el violación de datos?
- ¿Está trabajando con la privacidad de datos por diseño y privacidad de los datos ¿por defecto?
- ¿Ha realizado una DPIA?
Notificación de violaciones de datos según el RGPD - 10 preguntas frecuentes