POLÍTICA DE NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD
Codigo:PL Edicion: 01 Fecha 17-06-2019
INDICE
- Objeto y alcance…………………………………………………………………………………………. 2
- Definiciones……………………………………………………………………………………………….. 2
- Procedimiento en el supuesto de violación de seguridad…………………………………. 3
- Objeto y alcance
El objeto del presente documento es definir la política y los estándares de control en materia de seguridad de los datos personales y, en particular, definir el procedimiento y sistemática a aplicar por ONECHA TREJO, S.L. (la “Sociedad”) en casos de violaciones o incidencias de seguridad de los datos personales (la “Política”), ya sea mediante la notificación de dichos sucesos a las autoridades de protección de datos y cualesquiera otras autoridades que resulten competentes como, en su caso, a los particulares afectados; todo ello de conformidad con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”) y cualesquiera otras normas que lo adapten, desarrollen o complementen y que resulten de aplicación a la Compañía. Además, para la redacción de esta política se han tomado en consideración las Directrices sobre las notificaciones de violaciones de seguridad bajo el RGPD, publicadas por el Grupo de Trabajo del Artículo 29 (“GT29”).
Esta Política es aplicable a la Sociedad, a todo el personal que se halle bajo su ámbito de dirección y organización, así como a sus colaboradores, subcontratistas o proveedores externos e internos, en la medida en que presten servicios a la Sociedad, o en su nombre, que puedan conllevar el tratamiento de datos personales (conjuntamente, los “Usuarios Receptores”).
En caso de conflicto o discrepancia entre esta Política y la normativa o regulación que resulte aplicable, cualquier obligación legal prevalecerá.
Cuando lo permita la Ley, cualquier violación de esta Política puede derivar en una acción disciplinaria, incluyendo el despido. La Compañía se reserva el derecho a notificar a las autoridades competentes cualquier actividad ilegal y de cooperar en cualquier investigación de dicha actividad.
- Definiciones
2.1. “Violación de Seguridad” significa toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
El GT29 categoriza las Violaciones de Seguridad del siguiente modo:
- Violación de confidencialidad: Se da cuando existe una revelación de o un acceso a Datos Personales no autorizado o accidental. Un ejemplo de este tipo de Violación se puede dar en casos en los que se haya producido un ataque informático a los sistemas de tratamiento de datos de empleados de la Sociedad que haya resultado en la copia de Datos Personales de empleados por parte de los atacantes, o una salida no autorizada de datos de empleados realizada por un operador interno.
- Violación de integridad: Se refiere a alteraciones no autorizadas o accidentales de los Datos Personales. Un ejemplo de este tipo de Violación se daría en caso de que se produzca un incendio o inundación en una estancia de la Sociedad en la cual se guardan documentos físicos conteniendo Datos Personales que, como consecuencia del desastre acaecido, han sido destruidos, sin que exista una copia de seguridad en otro lugar o sistema.
- Violación de disponibilidad: Concurre cuando se produce una pérdida de acceso o destrucción no autorizada o accidental de los Datos Personales. Un ejemplo de este tipo de Violación se puede observar en casos en los que se pierda la clave que descifra una serie de datos encriptados, lo que provocaría que no se pudiera acceder a dichos datos.
Por supuesto, podría darse el caso de Violaciones de Seguridad que combinaran varias de las características anteriores. Este sería el ejemplo de la pérdida de un dispositivo que es encontrado por un tercero o un ataque informático que impide el acceso al responsable a determinados ficheros y, adicionalmente, publica sin autorización dichos datos (existirían conjuntamente una Violación de disponibilidad y de confidencialidad).
2.2. “Datos Personales” significa toda información sobre una persona física identificada o identificable (el “Interesado”), y asimismo se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
2.3. “Interesados Afectados” significa los Interesados cuyos Datos Personales se han visto afectados por la existencia de una Violación de Seguridad.
2.4. “Responsable del tratamiento”: la persona física o jurídica, autoridad pública, agencia u otra entidad que, por sí sola o conjuntamente con otras, determine los fines y los medios del tratamiento de los datos personales.
2.5. “Ámbito de aplicación”: Esta política se aplicará a las Violaciones de Seguridad que afecten a la Sociedad como Responsable del tratamiento.
- Procedimiento en el supuesto de Violación de Seguridad
- En el desarrollo de las actividades de la Sociedad se pueden dar situaciones como accesos, intentos de acceso, usos, divulgación, modificación o destrucción no autorizada de Datos Personales. Estos casos constituyen una Violación de Seguridad según este concepto se describe en la cláusula precedente.
- El tratamiento de Datos Personales estará supervisado por la persona responsable en materia de protección de datos de la Sociedad, a los efectos de controlar y poder notificar inmediatamente Violaciones de Seguridad. Los referidos tratamientos de Datos Personales cumplirán en todo momento con el RGPD y la normativa en materia de protección de datos de carácter personal que pueda resultar aplicable.
- Adicionalmente, la persona responsable en materia de protección de datos de la Sociedad se encargará de que todos los Usuarios Receptores conozcan el contenido de esta Política y estén en todo momento informados de las medidas de seguridad y el procedimiento a seguir en caso de Violaciones de Seguridad.
Siempre que sea necesario, la persona responsable en materia de protección de datos de la Sociedad se encargará de que los Usuarios Receptores tengan acceso a los cursos y formación necesaria para poder cumplir con los requisitos y obligaciones contenidos en esta Política y la normativa aplicable en materia de protección de datos.
- En caso de que se produzca una Violación de Seguridad en la Sociedad, se seguirá el procedimiento siguiente, comprensivo de las medidas de seguridad que se describirán a continuación:
- Notificación interna de la Violación de Seguridad y procedimiento de escalado.
Cualquier Usuario Receptor de la Sociedad que tenga la sospecha de que se ha producido una Violación de Seguridad deberá notificarlo inmediatamente a la persona responsable en materia de protección de datos de la Sociedad, indicando, en la medida en que sea posible en ese estadio del procedimiento y siempre condicionado al carácter urgente de la comunicación:
- Fecha y hora en que se detectó la existencia de la Violación de Seguridad.
- Equipo, ficheros, sistema y/o Datos Personales que han resultado afectados por la Violación de Seguridad.
- Descripción detallada de la Violación de Seguridad.
Aunque los clientes de la Sociedad y las autoridades competentes no están sujetos a los términos de esta Política, los Usuarios Receptores sí lo están y, por consiguiente, deberán notificar inmediatamente (según el proceso anterior) cualquier información que reciban por parte de los primeros, sobre toda posible sospecha de Violación de Seguridad.
La documentación que en su caso se genere en relación al proceso de notificación interna contenido en esta cláusula no puede contener Datos Personales ni elementos protegidos afectados por la Violación de Seguridad (por ejemplo, datos filtrados o robados) pues de lo contrario el contenido de dicha documentación podría ser considerado en sí mismo una Violación de Seguridad.
- Medidas de seguridad y cumplimiento de obligaciones legales tras la notificación de la Violación de Seguridad
El GT29 considera que la Sociedad tiene constancia de la Violación de Seguridad cuando la misma o cualquiera de sus colaboradores o subcontratistas tengan la razonable certeza de que se ha producido una Violación de Seguridad. Este momento vendrá determinado por el procedimiento de comunicaciones interno de la Sociedad en caso de Violaciones de Seguridad.
En este sentido, es necesario recordar el contenido del Considerando 87 del RGPD, el cual indica que dentro de las medidas de seguridad técnicas y organizativas que la Sociedad debe implementar, será necesario que existan medidas dedicadas a la detección pronta y adecuada de Violaciones de Seguridad, a modo de “oráculos” que puedan alertar a la Sociedad debidamente de dichas Violaciones. Resulta, pues, una obligación para la Sociedad establecer mecanismos adecuados de detección de Violaciones de Seguridad en sus sistemas.
De cualquier modo, resulta evidente que cada Violación de Seguridad tendrá sus particularidades específicas y la dificultad de detección de Violaciones de Seguridad será mayor o menor en función del supuesto concreto. Es por ello que la determinación del momento en el que la Sociedad ha tenido constancia adquiriendo ese grado de certeza razonable de la existencia de la Violación de Seguridad, se debe analizar caso por caso. Se debe tener en cuenta que, a partir de ese momento en que la Sociedad tiene constancia de la Violación de Seguridad, consta de un plazo de 72 horas para realizar la notificación a la autoridad de control competente.
Cuando la Sociedad reciba una alerta de posible Violación de Seguridad, ésta puede iniciar una investigación con el objetivo de adquirir la certeza de que se ha producido efectivamente dicha Violación. Si bien el RGPD no se refiere a la posibilidad de este período de investigación, resulta lógico que éste debe existir para que la notificación a la autoridad de control competente resulte fundada en hechos concretos y objetivos. El GT29 defiende la existencia de este período de investigación, matizando que debe producirse en un contexto de urgencia y sin dilaciones indebidas. No se podrá considerar que la Sociedad haya tenido constancia hasta el fin de este período de investigación, en el que se concluya si la Violación de Seguridad se ha producido o no.
Asimismo, según el proceso establecido en la cláusula 3.4.1 anterior, si la persona responsable en materia de protección de datos de la Sociedad considerara que, efectivamente, se ha producido una Violación de Seguridad, deberá analizar y fijar, con toda la precisión que resulte posible, los daños y riesgos para los derechos y libertades de los Interesados Afectados que dicha Violación de Seguridad haya podido conllevar.
El GT29 propone una lista no limitativa de elementos a analizar en cada caso, que ayudarán a determinar el impacto de la Violación de Seguridad en los derechos y libertades de los Interesados Afectados, tales como:
- El tipo de Violación de Seguridad (Violación de confidencialidad, de integridad o de disponibilidad).
- La naturaleza de la misma, la naturaleza de los Datos Personales afectados y el volumen de los mismos.
- La facilidad de identificación de los Interesados Afectados a través del análisis de los Datos Personales afectados.
- La gravedad de las posibles consecuencias que la Violación de Seguridad pudiera derivar para los Interesados Afectados.
- Características especiales de los Interesados Afectados (menores, discapacitados, etc.).
- Características especiales del responsable del tratamiento (aunque en el caso de la Sociedad posiblemente no aplique este parámetro, más dirigido a responsables de datos sensibles).
- Número de Interesados Afectados.
En relación a la probabilidad de la materialización de un perjuicio para los derechos y libertades de los Interesados Afectados, se debe atender a las circunstancias concretas del caso y a las medidas que la Sociedad ha implementado con anterioridad y con posterioridad a la Violación de Seguridad concreta sobre los Datos Personales. Se proponen tres ejemplos de análisis de la probabilidad:
- En caso de una Violación de confidencialidad basada en el robo de datos por un ataque informático, si los Datos Personales fueron encriptados a través de un mecanismo de cifrado imposible de reconocer o descifrar para cualquier persona externa a la Sociedad, la probabilidad de materialización del perjuicio será menor que si no existe dicha medida de seguridad.
- En caso de una Violación de integridad ocasionada por un incendio en un espacio físico, en caso de que se guarden copias de seguridad digitales en servidores de la Sociedad, o que se mantengan copias físicas de esa documentación en otro lugar separado del afectado, la probabilidad de materialización del perjuicio será menor que si no existe dicha medida de seguridad.
- En caso de una Violación de disponibilidad que viene dada por la pérdida de la clave para desencriptar un fichero cuya información se haya encriptada, si la Sociedad puede recuperar la información almacenada en dicho fichero gracias a una copia de back-up, el riesgo de materialización del perjuicio sería menor que en caso de que no existiera dicha copia.
En su caso, la persona responsable en materia de protección de datos de la Sociedad, tras analizar e identificar las consecuencias de las Violaciones de Seguridad, deberá definir las acciones a tomar y, en su caso, el plan de contingencia a seguir para subsanar dicha Violación de Seguridad y minimizar así sus consecuencias. Asimismo, deberá llevar a cabo el seguimiento de la misma.
- Notificación externa de la Violación de Seguridad
La Sociedad deberá notificar la Violación de Seguridad a la autoridad de control competente de conformidad con lo dispuesto en el RGPD, o cualesquiera otras normativas nacionales que resulten aplicables, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha Violación de Seguridad constituya un riesgo para los derechos y las libertades de las personas físicas que han proporcionado sus Datos Personales a la Sociedad. Si la notificación a la autoridad de control no tiene lugar en el mencionado plazo de 72 horas, la Sociedad deberá acompañar la misma con indicación de los motivos de la dilación.
Asimismo, y para el caso de que fuera probable que la Violación de Seguridad entrañara un alto riesgo para los derechos y libertades de los sujetos personas físicas que hubieran proporcionado sus Datos Personales a la Sociedad, la misma deberá comunicar la Violación de Seguridad a dichos sujetos sin dilación indebida.
Esta notificación deberá describir en un lenguaje claro y sencillo la naturaleza de la Violación de Seguridad y contendrá como mínimo la información y medidas contempladas en el RGPD que se describirán más adelante.
Asimismo, respecto del modo de realizar esta comunicación a los Interesados Afectados, el GT29 indica que la comunicación ha de ser efectiva a una dirección válida perteneciente al Interesado Afectado, sin que se entienda cumplida esta obligación con la notificación a través, por ejemplo, de un comunicado de prensa o una web de la Sociedad. Insiste el GT29 en la importancia de mantener prueba del envío de la notificación a los Interesados Afectados.
Sin perjuicio de lo anterior, no resultará necesario comunicar la Violación de Seguridad a los Interesados Afectados que hayan proporcionado sus Datos Personales a la Sociedad si se cumplen los siguientes requisitos:
- Que la Sociedad hubiera adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se hubieran aplicado a los Datos Personales afectados por la Violación de Seguridad, en particular aquellas que hagan ininteligibles los Datos Personales para cualquier persona que no estuviera autorizada a acceder a ellos, como el cifrado.
- Que la Sociedad hubiera tomado medidas ulteriores que garantizaran que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades de los Interesados Afectados.
- Que la notificación a los Interesados Afectados supusiera un esfuerzo desproporcionado para la Sociedad. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Interesados Afectados.
- Contenido de la notificación de la Sociedad en caso de Violaciones de Seguridad como Responsable del tratamiento
- Notificación a la autoridad de control competente
- Contenido de la notificación de la Sociedad en caso de Violaciones de Seguridad como Responsable del tratamiento
La notificación de la Sociedad deberá, como mínimo:
- Describir la naturaleza de la Violación de Seguridad, inclusive, cuando sea posible, las categorías y el número aproximado de Interesados Afectados, y las categorías y el número aproximado de registros de Datos Personales afectados. En caso de que no sea posible conocer con exactitud estos aspectos, el GT29 indica que es posible incluir aproximaciones en la notificación, explicando los motivos por los cuales llegar a un número exacto no es posible.
- Comunicar el nombre y los datos de contacto de la persona responsable en materia de protección de datos de la Sociedad.
- Describir las posibles consecuencias de la Violación de Seguridad.
- Describir las medidas adoptadas o propuestas por la Sociedad para poner remedio a la Violación de Seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
En la medida en que no fuera posible facilitar la información de forma simultánea, la información se deberá proporcionar de manera gradual sin dilación indebida.
- Notificación a los Interesados Afectados:
La notificación de la Sociedad a los Interesados Afectados en relación a las Violaciones de Seguridad ocurridas deberá contener la misma información descrita en la cláusula 3.4.4.1 anterior, con la única excepción del primer apartado (i), que no será necesario.
Por su parte, el GT29 propone como buena práctica que, en las comunicaciones a los Interesados Afectados, se incluyan recomendaciones en las que se expliquen las medidas que la Sociedad estima que el Interesado Afectado debe poner en práctica para mitigar cualquier efecto perjudicial que la Violación de Seguridad pudiera tener sobre sus derechos o libertades.
- Registro de Violaciones de Seguridad
Una vez recibida la notificación, la persona responsable en materia de protección de datos de la Sociedad documentará en un registro cualquier Violación de Seguridad (el “Registro de Violaciones de Seguridad”), incluidos los hechos relacionados con la misma, sus efectos y las medidas correctivas adoptadas, a los efectos de permitir a la autoridad de control verificar el cumplimiento de lo dispuesto en la normativa aplicable.
El Registro de Violaciones de Seguridad debe incorporar todos los campos necesarios para recabar los detalles y las características de las Violaciones de Seguridad que han sido detectadas y, en particular:
- Los datos del Usuario Receptor que detectó la Violación de Seguridad.
- Los datos de la persona responsable en materia de protección de datos de la Sociedad.
- La fecha y hora en que se produjo y/o detectó la Violación de Seguridad.
- Los ficheros afectados.
- La causa de la Violación de Seguridad (por ejemplo, robo, pérdida, copia, acceso no autorizado, entre otros).
- La naturaleza y contenido de los Datos Personales afectados por la Violación de Seguridad.
- Las medidas técnicas y organizativas adoptadas o a adoptar a los Datos Personales para reparar los daños producidos y/o paliar posibles efectos negativos futuros.
- Una descripción de la Violación de Seguridad.
- El número de Interesados Afectados.
- Posibles consecuencias o efectos negativos en los derechos y libertades de los Interesados Afectados.
- El contenido de las notificaciones efectuadas por la Sociedad, tanto a la autoridad de control competente, a los responsables del tratamiento como a los Interesados Afectados.
El periodo durante el cual la persona responsable en materia de protección de datos de la Sociedad deberá conservar dicha información será el que resulte aplicable por imperativo legal más tres (3) años o el plazo que a cada momento determine la normativa de protección de datos para la prescripción de infracciones).
- Subsanación de la Violación de Seguridad y finalización del procedimiento
Una vez analizada y solventada la Violación de Seguridad, la persona responsable en materia de protección de datos de la Sociedad cerrará la misma, procediendo, en su caso, a comunicar a las autoridades competentes e Interesados Afectados que la Violación de Seguridad está cerrada.
La persona responsable en materia de protección de datos de la Sociedad analizará periódicamente las Violaciones de Seguridad e incidencias acaecidas, según el registro referido en la cláusula 3.4.5 anterior y, si fuera posible, los costes asociados para la gestión de cada una de ellas. Esta información será tomada en cuenta para la identificación de las incidencias recurrentes y las de especial gravedad y servirán para la toma de acciones de mejora.
La información recabada por la persona responsable en materia de protección de datos de la Sociedad será también tenida en cuenta para la revisión de los procedimientos y medidas de seguridad y organizativas implementadas por la Sociedad.