¿Cuándo hay que comunicar una brecha de seguridad? La AEPD sanciona a una entidad por no haber comunicado un hackeo.

Publicado en Blog
by
Miércoles, 29 Julio 2020
Visto 82 veces

Hace unas semanas veíamos en las redes cómo el sector de la privacidad se hacía eco de una resolución sancionadora de la Agencia Española de Protección de Datos, por incumplimiento de las previsiones del Reglamento General de Protección de Datos (RGPD), relativas a las obligaciones del responsable del tratamiento con respecto a las violaciones de seguridad.

En concreto, en el asunto acerca del cual se ha pronunciado la autoridad de control, los clientes de la entidad, ahora sancionada, recibieron una serie de emails con contenido de petición de cambio de datos personales, procedentes de cuentas con extensión de dominio diferente al oficial de la entidad (en adelante la reclamada).

En tales emails, no solo figuraban los datos personales identificativos y número de cuenta bancaria, sino que también se incorporaba un archivo adjunto.

Estos hechos fueron puestos en conocimiento de la AEPD por parte de uno de los propios afectados, cuando, ante la solicitud de información formulada a la entidad reclamada responsable de sus datos, no recibió respuesta alguna.

¿Qué llevó a la AEPD a acordar el inicio de procedimiento sancionador en este caso?

Es interesante conocer cuál es la documentación que, inicialmente, la AEPD solicitó a la entidad reclamada:

  • Copia de las comunicaciones, de la decisión adoptada remitida al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante recibió la comunicación de esa decisión.
  • Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.
  • Cualquier otra que considerase relevante.

A pesar de que la entidad reclamada aportó la documentación solicitada por la AEPD (Informe Riesgo RGPD, Procedimiento de Evaluación de Riesgo y Notificaciones de Violaciones de Seguridad, Informe de la incidencia, Contrato para la realización de Auditoría de Ciberseguridad y Respuesta al cliente), tras su examen y revisión, se admitió a trámite la reclamación presentada por el reclamante, de conformidad con el artículo 65 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), al entender la existencia de una posible vulneración de los artículos 33 y 34 del RGPD.

En concreto, los hechos pondrían de manifiesto el incumplimiento del deber de comunicar, tanto a la autoridad de protección de datos personales como a los interesados, la violación de la seguridad de sus datos.

Recordemos que estos artículos del RGPD establecen:

REUTILIZACIÓN DE INFORMACIÓN PÚBLICA: LÍMITES Y SALVAGUARDAS EN LA DIFUSIÓN DE DATOS PERSONALES

Publicado en Blog
by
Lunes, 27 Julio 2020
Visto 119 veces

El creciente volumen de información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, favorece su reutilización para la provisión de nuevos productos y servicios.

La Agencia Española de Protección de Datos (en adelante AEPD), elaboró en su día unas orientaciones sobre la reutilización de la información del sector público con la finalidad de facilitar criterios que contribuyan de una manera equilibrada a favorecer la reutilización de la información pública minimizando los riesgos que sobre el derecho a la protección de datos personales pueda implicar para los ciudadanos.

Ahora bien, en la misma línea y al hilo de lo anteriormente expuesto, la AEPD publicó recientemente un informe en respuesta a la consulta planteada como consecuencia de la puesta en marcha del programa de ACCESO A FONDOS DOCUMENTALES Y OBRAS (ATOPO), por la Diputación de Pontevedra.

¿En qué consiste el Programa ATOPO?

La ejecución del programa ATOPO, supone la publicación y por tanto el acceso de los ciudadanos- a información proveniente de diversas fuentes, tales como repositorio de colecciones y fondos documentales, bibliográficos, cartográficos y audiovisuales, depositados en el Museo de Pontevedra, en el Servicio de Patrimonio Documental y Bibliográfico, e incluso procedentes (a través de los correspondientes convenios), de los archivos municipales y de otras instituciones, públicas o privadas, de la provincia.

A través de este programa se pretende facilitar el acceso de modo universal, directo, sin identificación ni autorización, previa definición de los límites y condiciones de otras normativas aplicables entre las que se encuentra la de protección de datos personales.

Como punto de partida, acudiendo a la definición de tratamiento de datos personales del art. 4.2 del RGPD podemos considerar la existencia de tratamiento de datos personales en la ejecución del programa ATOPO.

Por tanto, una vez determinada la existencia del tratamiento debemos hacernos la siguiente pregunta:

¿Cuáles podrían ser las bases de legitimación del tratamiento del programa ATOPO? 

Página 1 de 169

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal