De acuerdo con las directrices y reglamentos del GDPR, la BDSG y las numerosas leyes auxiliares, las empresas que procesan datos personales con fines comerciales deben garantizar una amplia protección de datos. Los numerosos incidentes de protección de datos demuestran que a menudo esto ni siquiera es posible debido a la complejidad de la ley, las continuas actualizaciones y las exigencias cada vez mayores. Un incidente de protección de datos se produce cuando se ha vulnerado la protección de los datos personales. De acuerdo con el GDPR en el Art. 4 nº 12, este es el caso en caso de destrucción, pérdida, modificación y divulgación no autorizada o acceso no autorizado a / de los datos personales durante la transmisión, el almacenamiento o, en principio, durante el procesamiento. Con la protección de datos incidente puede ser necesario notificar de acuerdo con el Art. 33 GDPR. La violación debe ser reportado a la autoridad de control.
Sin embargo, ésta no es en absoluto la única obligación de información que puede existir. Si su empresa procesa una gran cantidad de datos personales o si su tratamiento de datos está asociado a un mayor riesgo, puede que se le exija realizar una evaluación de impacto sobre la protección de datos, o DPIA por sus siglas en inglés. El objetivo es comprobar previamente la admisibilidad del tratamiento de datos y, en caso necesario, restringirlo.
Si ha tenido una violación de datos que hace indispensable la notificación de un incidente de protección de datos, o si opera en áreas de procesamiento que requieren una evaluación de impacto de la protección de datos, usted o su responsable de protección de datos deben prepararla. Para ello, necesita una cosa por encima de todo: una visión general y una gestión simplificada de todas las estructuras de protección de datos. Los incidentes de protección de datos y las multas debidas a evaluaciones de impacto de la protección de datos olvidadas pueden evitarse si se crea una capacidad suficiente en la protección de datos para actuar de forma proactiva. ¿Cómo se hace eso? Con un socio de confianza como Priverion, que tiene una solución inteligente y eficiente para una gestión sencilla de la protección de datos.
Si se produce un incidente de protección de datos en su empresa, por ejemplo, por el robo de datos tras un ciberataque o por el envío accidental de un correo electrónico al destinatario equivocado, la persona responsable en virtud del art. 33 del RGPD está obligada a informar a la autoridad de control en un plazo de 72 horas desde que tiene conocimiento de ello. Existe una excepción si "[...] es improbable que la violación de la protección de datos personales suponga un riesgo para los derechos y libertades de las personas físicas." La falta de notificación de un incidente de protección de datos debe justificarse por escrito. El aspecto de la notificación de un incidente de protección de datos se describe en el art. 33 DEL RGPD. Al mismo tiempo, la empresa o el responsable de la protección de datos deben conservar una documentación precisa que debe ser revelada a la autoridad de control para su revisión. Esto incluye, entre otras cosas, los hechos, los efectos y las medidas correctivas adoptadas en caso de incidente de protección de datos. Si se incumple la obligación de notificar un incidente de protección de datos, se corre el riesgo de imponer multas elevadas. También hay que tener en cuenta que, según el art. 34, apartado 1, del RGPD, los afectados por el incidente de seguridad de la información también deben ser informados inmediatamente. También en este caso, el incumplimiento puede acarrear consecuencias. Independientemente de que se deba informar a la autoridad de control o a la persona afectada, se puede imponer una sanción según el procedimiento denominado "multa de menor cuantía", que puede ascender hasta 10 millones de euros o 2% de la facturación anual de la empresa.
Sin embargo, un incidente de protección de datos no siempre es reconocible inmediatamente. Sobre todo si no hay una visión general de la protección de datos y sólo hay tiempo para las áreas de alto riesgo. Nuestro módulo central ofrece aquí una solución.
La solución SaaS le garantiza el inicio del trabajo a largo plazo para cumplir con toda la normativa legal y la documentación periódica. Con la gestión integral de riesgos, puede gestionar y supervisar los riesgos para el cumplimiento de la protección de datos de un vistazo con una única solución. Puede tener todas las actividades y tareas claramente visualizadas en un directorio y mantenidas. Esto reduce el riesgo de incidentes de protección de datos de forma preventiva, le ayuda a reconocer los incidentes de protección de datos en una fase temprana y a cumplir con la obligación de informar en caso de violación de la ley de protección de datos.
Los servicios del módulo central:
- Directorio de actividades de procesamiento (ROPA)
- Gestión de los procesadores de datos
- La gestión de TOM
- Gestión de incidentes
- Gestión de riesgos (basada en el flujo de datos)
- Informes y visualización del flujo de datos
- Solicitudes de información
- Revisiones y auditorías
- Función multijurídica (según la persona jurídica)
Si tiene alguna duda sobre los servicios del módulo básico, póngase en contacto con nosotros para que podamos ayudarle.
Las autoridades de control publican listas que establecen un marco para cuando se debe realizar una EIPD. Si se cumplen dos o más de los criterios mencionados, la probabilidad de tener que realizar una evaluación de impacto sobre la protección de datos es muy alta. Esto incluye, entre otras cosas
- Datos personales muy sensibles.
- Datos de personas vulnerables como los niños
- grandes cantidades de datos
- se utilizan soluciones tecnológicas como el escaneo de huellas dactilares o el reconocimiento facial
- Se utilizan la puntuación, la evaluación, la elaboración de perfiles y la previsión
- Es una observación sistemática de las personas
Deben cumplirse los requisitos de contenido de una DPIA:
- Descripción de las operaciones de tratamiento
- Información sobre la finalidad o el interés legítimo
- Evaluación de la necesidad de tratamiento
- Proporcionalidad de las operaciones de tratamiento
- Evaluación del riesgo de los derechos y libertades de los interesados
- Medidas previstas para hacer frente al riesgo
El resultado de la evaluación de impacto sobre la protección de datos puede llevar a que el riesgo se considere tan elevado que la autoridad de control prohíba el tratamiento de datos. Si se descuida la EIPD y se demuestra el incumplimiento de la obligación de llevarla a cabo, se corre el riesgo de imponer multas de hasta 10 millones de euros o el 2% de la cuota anual mundial. la facturación.
Nuestro módulo de eficiencia puede ayudarle a dominar eficientemente la protección de datos y también a mantenerse al día con la evaluación de impacto de la protección de datos o a reconocer a tiempo las áreas de riesgo y, si es necesario, estructurarlas de forma diferente. Automatice las tareas recurrentes, asegure el acceso a los procesadores de datos estándar y a los ROPA y manténgase al día de los cambios actuales.
Los servicios del módulo de rendimiento:
- Biblioteca de procesadores de datos
- Biblioteca ROPA
- Biblioteca política
- Biblioteca TOM
- Biblioteca de retención y borrado
- Árbol político
- Formación de los empleados
- Funciones de fusión, adquisición y exclusión
- Azure Active Directory B2C
- Portal de protección de datos
Si se produce un incidente de protección de datos o necesita crear una evaluación de impacto de la protección de datos, nuestra innovadora solución le permitirá empezar directamente. Cumpla con su obligación de informar y evite multas elevadas. También puede crear más tiempo para la acción proactiva con el fin de prevenir los incidentes de protección de datos por adelantado y reducir las posibles áreas de riesgo que deben ser tratadas como parte de las evaluaciones de impacto de protección de datos. Con Priverion a su lado, el GDPR con todas sus directrices, reglamentos y requisitos de información se hace factible. Para todas las empresas.
Esperamos proporcionarle información más detallada en una primera reunión personal y estaremos encantados de asesorarle. Domine los incidentes de protección de datos y las evaluaciones de impacto de la protección de datos con nosotros con un poco más de confianza.