PROTOCOLO OBLIGATORIO FILTRACIONES DE DATOS

PROTOCOLO OBLIGATORIO FILTRACIONES DE DATOS

Consideraciones:

CalmActiva se preocupa por una buena seguridad de sus sistemas (electrónicos) en los que se almacenan y procesan datos personales

sin embargo, nunca se puede evitar por completo que ocurra una filtración de datos

CalmActiva está obligada, en virtud del Reglamento General de Protección de Datos (RGPD), a notificar las violaciones de datos (graves) a la Autoridad de Protección de Datos y a los afectados

CalmActiva desea cumplir con sus obligaciones legales

CalmActiva ha formulado una política para actuar de la manera más adecuada posible en caso de que, inesperadamente, ocurra una filtración de datos.

1 - Definición de violación de datos

Se considera que hay una violación de datos si ocurre una infracción de la seguridad que, de manera accidental o ilegal, conduce a la destrucción, pérdida, modificación o la divulgación no autorizada de o el acceso no autorizado a datos transmitidos, almacenados o procesados de otra manera.

2 - Responsables internos de notificación de brechas de datos

CalmActiva ha designado responsables internos para el tratamiento de brechas de datos que son responsables de la notificación de una brecha de datos.

  1. 1.Los responsables son: Dirk Verburg, número de teléfono: 0624523564; correo electrónico: info@calmactiva.com. nl y si este no está disponible Yvo Langhoor, número de teléfono: 0650589123; correo electrónico: linfo@calmactiva.com, en adelante denominado: ‘responsable interno.
  2. Si es posible, la persona que descubrió la filtración de datos se asegurará simultáneamente de que los datos filtrados se borren o se hagan inaccesibles de inmediato.
  3. Mensaje interno al descubrir una filtración de datos
La persona que descubra una filtración de datos en CalmActiva deberá informar de inmediato al responsable interno. Si es posible, la persona que ha descubierto la filtración de datos deberá asegurarse simultáneamente de que los datos filtrados se borren o se hagan inaccesibles de inmediato.

4 - Investigación por el responsable interno            

El responsable interno investiga, entre otros aspectos:

de si se han perdido datos personales o se han utilizado de manera ilegal, quién o qué departamentos dentro de la organización están involucrados en la violación de datos o si hay un procesador involucrado en el incidente

5 - Prevención de filtraciones de datos

El responsable interno detiene la filtración de datos si aún es posible y toma las medidas necesarias para combatir la filtración de datos de la mejor manera posible.

6 - Determinación de las consecuencias de una filtración de datos

El responsable interno investiga las posibles consecuencias de la filtración de datos en función de la naturaleza y el alcance de los datos que se han filtrado y determina cuáles pueden ser las consecuencias adversas para los afectados.

7 - Colaboración en la provisión de datos sobre la violación de datos El descubridor/denunciante de la violación de datos ofrece toda la colaboración al responsable interno al responder (por escrito) a las siguientes preguntas de la manera más rápida y completa posible:

  • ¿Qué ha sucedido? (descripción del incidente)
  • ¿Sucedió por accidente o fue causado por mala intención (piensa en datos hackeados)? ¿Cuándo ocurrió? (fecha y hora)
  • ¿cuándo fue descubierto?
  • ¿Qué datos (registros) se han filtrado? ¿Están los datos cifrados, y si es así, cómo?
  • ¿Se pueden borrar o hacer inaccesibles los datos de forma remota, y si es así, ¿se ha hecho? ¿Cuáles son las posibles consecuencias para los involucrados?
  • ¿qué grupo(s) de personas se ven afectados por esto? (por ejemplo: estudiantes, pacientes, miembros premium) ¿cuántas personas se ven afectadas (aproximadamente) por esto?
  • ¿También hay datos de personas en otros países de la UE afectados por la filtración de datos?
  • ¿Se pueden tomar medidas técnicas y/o organizativas en respuesta al incidente?

8 - Disponibilidad del personal tras el descubrimiento de la filtración de datos

El responsable del departamento desde donde se ha producido la filtración de datos, así como el descubridor de la filtración de datos y todos aquellos que, desde su función o conocimiento, son capaces de tomar medidas organizativas y/o técnicas para limitar las consecuencias de la filtración de datos, se mantendrán disponibles durante las primeras 24 horas tras el descubrimiento de la filtración de datos para consultar con el responsable interno o, en su caso, con los expertos que él designe, y para llevar a cabo, si es necesario, las tareas encomendadas como resultado de la filtración de datos.

9 - Decisión sobre la notificación de violaciones de datos

  1. El responsable interno decidirá lo antes posible, pero en cualquier caso dentro de las 60 horas posteriores al descubrimiento de la filtración de datos - ya sea en consulta con el responsable del departamento desde el cual se ha descubierto la filtración de datos y/o por expertos designados por él - si la filtración de datos debe ser notificada a la Autoridad de Protección de Datos y/o a los afectados.
  2. Un incumplimiento de datos se informa siempre a la Autoridad de Protección de Datos, a menos que no sea probable que el incumplimiento de datos represente un riesgo para los derechos y libertades de los interesados.
  3. La notificación de la violación de datos va acompañada de la respuesta a las preguntas como se describe en la sección 7.
  4. Una violación de datos que se notifica a la Autoridad de Protección de Datos también se informa a los afectados si implica un alto riesgo para los derechos y libertades de las personas físicas, a menos que se hayan tomado medidas adecuadas que hayan mitigado el alto riesgo.

10 - Notificación de brechas de datos a la Autoridad de Protección de Datos y/o a los afectados

  1. El responsable interno se encargará, si es necesario, de notificar a la Autoridad de Protección de Datos y/o a los interesados.
  2. La notificación se realizará tan pronto como sea posible después del descubrimiento y, a más tardar, dentro de las 72 horas posteriores al descubrimiento de la violación de datos.
  3. No se permite a ningún otro empleado que no sea el responsable interno informar sobre la (posible) violación de datos a la Autoridad de Protección de Datos y/o a los afectados.
  4. Si un empleado no está de acuerdo con la decisión del responsable interno sobre si se debe o no informar sobre la violación de datos a la Autoridad de Protección de Datos y/o a los afectados, puede expresar sus quejas a la dirección.

Si se solicita, un empleado brindará toda la cooperación al responsable para informar a las personas afectadas de acuerdo con el artículo 34 del RGPD sobre la violación de datos.

5.

11 - Consecuencias de la notificación de filtraciones de datos

Si la filtración de datos tiene consecuencias negativas para los afectados, el responsable interno hará todo lo posible para limitar estas consecuencias.

1.

  1. Dependiendo de la naturaleza y la magnitud de la violación de datos para los afectados, el responsable interno determina: de qué manera se informará a los afectados (incluyendo, al menos, las comunicaciones sobre qué tipos de datos personales se han visto afectados, cuáles son las posibles consecuencias, qué medidas toma Calma Activa y de qué manera los afectados pueden prevenir o limitar el daño por sí mismos)

qué seguimiento reciben los involucrados

qué acciones son necesarias en beneficio de la organización

Si se ha producido una filtración de datos - independientemente de si se ha informado o no - se tomarán las medidas técnicas y/o organizativas adecuadas lo antes posible para prevenir futuras filtraciones de datos similares.

3.

12 - Mantener un registro de las filtraciones de datos

El responsable interno lleva un registro de todas las filtraciones de datos, en el que se registran todos los datos relacionados con la filtración, tales como:

  • una descripción del incidente fecha y hora de la filtración de datos
  • ¿Fecha y hora del descubrimiento de la filtración de datos?
  • descripción del tipo de datos personales filtrados
  • descripción de la(s) categoría(s) de interesados que se han visto afectados
  • descripción número de involucrados (aproximadamente)
  • de ook datos de personas en otros países de la UE se han filtrado