Procedimiento de gestión de vulneraciones criticas tratamientos de datos personales
VÍTALY tiene un riguroso procedimiento de investigación, análisis cuantitativo, y clasificación de cualquier incidencia de seguridad. En el caso improbable de dicha investigación, análisis cuantitativo y clasificación, según los criterios del Anexo II de la guía de Brechas de Seguridad de la AEPD, determinará que dicha incidencia fuera una brecha de seguridad de los datos personales, VÍTALY notificará al interesado (en los casos en los que VÍTALY actúa como Responsable de Tratamiento) o a sus Clientes, cuando actúa como Encargado de Tratamiento, a través de los sistemas de comunicación establecidos, sin dilación indebida y dentro del plazo máximo de 72 horas, toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria esta notificación cuando dicha violación de la seguridad no cumpla con los criterios de notificación señalados con anterioridad, por no constituir un riesgo para los derechos y las libertades de las personas físicas cuyos datos personales trate VÍTALY como encargado o responsable de los tratamientos de datos personales.
En la comunicación se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Análisis cuantitativo del riesgo derivado por la brecha de seguridad, y como consecuencia del cálculo del riesgo determinación de si es necesario informar a la AEPD y afectados sobre la misma.
