El auxiliar administrativo y la notificación de una violación en la protección de datos en el servicio de salud del Principado de Asturias

Incluido en la revista Ocronos. Vol. V. Nº 10–Octubre 2022. Pág. Inicial: Vol. V; nº10: 315

Autor principal (primer firmante): Manuela Menéndez de la Sal

Fecha recepción: 11 de octubre, 2022

Fecha aceptación: 28 de octubre, 2022

Ref.: Ocronos. 2022;5(10) 315

Autoras:

  1. Manuela Menéndez De La Sal (Auxiliar Administrativo)
  2. María Begoña Iglesias Fernández (Auxiliar Administrativo)
  3. Cristina Díaz Cobián (Auxiliar Administrativo)

Introducción

Los datos personales de los ciudadanos, que están disponibles para su tratamiento por las empresas, están protegidos por la ley para su uso y libre circulación. Sin embargo, hay veces en las que se produce el acceso a esos datos sin permiso.

Objetivos

Conocer el procedimiento a seguir ante la notificación de una violación de los datos personales.

publica-TFG-libro-ISBN

Método y palabras clave

Para acceder a la información contenida en el presente documento, se ha consultado la normativa referente al respecto contenida en el Reglamento de la Unión Europea 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, así como wikipedia. Además, como motor de búsqueda se han utilizado los descriptores: notificación, violación, protección, datos, Europa

Resultados

Encontramos que, ante la violación de la seguridad de los datos personales, es el encargado del tratamiento el que empieza el proceso a realizar comunicando la violación de los datos personales al responsable de dicho tratamiento. Este es el primer paso y se debe realizar sin dilación indebida.

El responsable del tratamiento, a continuación, tiene que comunicárselo a la autoridad competente. Esta comunicación debe darse, siempre que sea posible, dentro de un determinado plazo de tiempo, que es en un máximo de setenta y dos horas después de tener el conocimiento de la violación de los datos. También se puede dar el caso de que este paso se realice más tarde, en cuyo caso la comunicación se realizará motivando la dilación.

Esta comunicación que realiza el encargado del tratamiento a la autoridad competente, debe incluir cierta información, como, por ejemplo, debe describir la naturaleza de la violación de la seguridad de los datos, a ser posible también, indicando las categorías y el número de interesados afectados. Debe incluir una persona de contacto, por lo general esta persona de contacto es el delegado de protección de datos.

Esto sirve para poder tener una persona de contacto en el caso de que sea necesario obtener más información. Debe describir las posibles consecuencias de la violación de los datos, así como las medidas adoptadas o propuestas por el responsable para remediar la situación.

En este punto se tienen en cuenta también, los posibles efectos negativos que puede producir la violación de los datos personales, por lo que en el caso de que proceda, se incluirán también las medidas destinadas a la mitigación de dichos efectos.

Debido a la gravedad de la situación es de especial importancia facilitar toda esta información de forma simultánea. Tanto la comunicación del encargado del tratamiento al responsable, como de éste último a la autoridad competente. De no ser posible realizar toda esta información de forma simultánea, se hará de forma gradual, pero sin dilación indebida.

Resumen

Para verificar que todo este procedimiento se cumple de forma correcta, el responsable del tratamiento de los datos personales documentará todo lo relativo a la violación de la seguridad de dichos datos. Esto es lo que permitirá comprobar que todo el proceso se realiza de forma correcta. Dicha verificación corresponde a la autoridad de control.

También, el responsable debe comunicar al interesado la violación de sus datos personales. Este paso no siempre va a ocurrir. Es necesario para que se produzca que sea probable la existencia de alto riesgo para sus derechos y libertades; en cuyo caso se lo tiene que comunicar sin dilación indebida.

Conclusión

Hay que destacar también, que la comunicación al interesado, aun cumpliendo los requisitos para que se le comunique, puede no hacerse si se cumplen unas condiciones como por ejemplo haber tomado medidas de protección técnicas y organizativas, haber adoptado medidas ulteriores que garanticen una posibilidad de que ya no existe ese alto riesgo, o en el caso de suponer un esfuerzo desproporcionado.

Bibliografía

  1. REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO – de 27 de abril de 2016 – relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/ 46/ CE (Reglamento general de protección de datos) (boe.es)
  2. Reglamento General de Protección de Datos – Wikipedia, la enciclopedia libre