En primer lugar, debemos explicar lo que se entiende por brecha de seguridad. La Agencia Española de Protección de Datos, AEPD, la define como: “Una brecha de datos personales es un incidente de seguridad que afecta a datos de carácter personal, pudiendo producir daños sobre los derechos y libertades de las personas físicas cuyos datos son objeto del tratamiento.”

Si bien, no todo incidente de seguridad tiene que considerarse necesariamente una brecha de seguridad a efectos de la normativa en materia de protección de datos, puesto que el incidente de seguridad puede no llegar a afectar datos de carácter personal y, esta esto es lo que determina su naturaleza y como consecuencia nuestras obligaciones de actuación.

También debemos advertir que, aunque la denominación de brecha de seguridad nos haga imaginar que se trata de un incidente informático o tecnológico, no tiene por qué ser así. Por ejemplo, si se extravía una documentación física, estaríamos hablando de una brecha de seguridad a todos los efectos.

Por lo que, lo fundamental es, que se vean comprometidos datos de carácter personal y, en concreto, su confidencialidad (acceso a la información solo mediante autorización y de forma controlada), integridad (modificación de la información solo mediante autorización) y disponibilidad (la información del sistema debe permanecer accesible mediante autorización.).

En segundo lugar, una vez sabemos identificar una brecha de seguridad, tenemos que saber lo que debemos hacer, nuestras obligaciones:

El art. 33 del RGPD, establece la obligación de notificar a la AEPD (en España) cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se haya producido o se tenga conocimiento de la misma, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Por ello, en todo caso, debemos de recoger en un informe la incidencia, analizarla y determinar si se han visto afectados datos de carácter personal y en su caso, si existe riesgo para los derechos y libertades de las personas físicas. Si concluimos, que no se han visto afectados datos de carácter personal o en caso afirmativo, a pesar de ello, no existe riesgo para los derechos y libertades de las personas físicas, será suficiente con documentar la incidencia.

Si, por el contrario, se han visto afectados datos de carácter personal y existe riesgo para los derechos y libertades de las personas físicas, debemos de notificar este informe a la AEPD antes de 72 horas y además aportar la siguiente información sobre la brecha de seguridad: a) describir la naturaleza de la violación de la seguridad y, cuando sea posible, las categorías y el número aproximado de afectados. b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) describir las posibles consecuencias. d) describir las medidas adoptadas o propuestas para poner remedio y para mitigar los posibles efectos negativos.

Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en [email protected]

Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.

Arias Avogados

Toll Free
1-885-245-45635
New York
1-455-245-45623
Toronto
1-657-544-45623
Resumen de privacidad

RESPONSABLE 

ARIAS AVOGADOS, S.C.

N.I.F.: J-42.739.680

Dirección: Rúa Concordia, nº1, Entlo A-B, 32003, Ourense.

Teléfono: 988 609 224

Correo Electrónico: [email protected]

FINALIDAD

ARIAS AVOGADOS, S.C. tratará los datos de sus clientes/usuarios con la finalidad de incorporarlos al sistema de tratamiento del que es responsable y llevar a cabo la prestación de los servicios propios de un despacho de abogados.

-No existirán decisiones automatizadas ni se elaborarán perfiles a partir del tratamiento de sus datos.

-Los datos proporcionados a ARIAS AVOGADOS, S.C. se conservarán durante el tiempo que dure la relación profesional.

Dichos datos permanecerán en el sistema de tratamiento del responsable. Una vez finalizada la relación profesional, los datos personales facilitados se destruirán en el plazo de 30 días desde la fecha de finalización, salvo que por imperativo legal se tenga la obligación de conservarlos.

LEGITIMACIÓN

Consentimiento expreso del Cliente (art. 6.1 a) RGPD), y Ejecución contrato prestación de servicios (art. 6.1 a) RGPD).

DESTINATARIOS

El Cliente/Interesado/a consiente expresamente la cesión de sus datos cando sea necesario para la mejor prestación del servicio, siempre que únicamente se cedan los datos imprescindibles para tal fin. Se procederá a ceder datos del  Cliente a las entidades públicas o privadas necesarias (Gestoría e Informático), siempre y cuando sean adecuados y guarden relación con la finalidad que se persigue.

El consentimiento de cesión a terceros podrá ser revocado en cualquier momento con independencia de la prestación de servicios mediante comunicación al Responsable de Tratamiento, de acuerdo al apartado siguiente, DERECHOS.

-No se contemplan transferencias internacionales de los datos.

DERECHOS

El Cliente/Interesado/a tiene derecho a obtener el acceso a sus datos, a su rectificación o supresión, a la limitación de su tratamiento, o a oponerse al mismo, así como a la portabilidad de sus datos, solicitándolo mediante comunicación al Responsable de tratamiento, bien en el domicilio profesional en Rúa Concordia, nº1, Entlo A-B, 32003, Ourense,  en la dirección de correo electrónico: [email protected], y si no se obtiene respuesta, directamente ante la AEPD en www.aepd.es adjuntando, en ambos casos, fotocopia de documento identificativo (D.N.I., N.I.E., o Pasaporte).