Centro de ayuda de OVHcloud

Hola. ¿Cómo podemos ayudarte?

Casos prácticos

Cuando se trate de datos personales, el responsable del tratamiento deberá documentar la violación en un registro interno.

 

Mi servidor dedicado ha permanecido inaccesible durante varios días, pero no contiene datos personales. ¿Debo notificarlo?

No, solo existe la obligación de notificar cuando la violación de la seguridad implique, de forma accidental o ilícita, la destrucción, pérdida, alteración o divulgación no autorizada de datos personales transmitidos, conservados o tratados de otra forma, o el acceso no autorizado a dichos datos. Por consiguiente, si no trata datos personales, no es necesario que realice ninguna notificación.

 

Mi infraestructura ha sido considerada «no recuperable» tras el incendio y no había realizado ninguna copia de seguridad. ¿Es necesario notificar a la autoridad de control al respecto?

Es necesario notificar a la autoridad de control si:

  • los datos personales se han perdido definitivamente (no existe copia de seguridad), o
  • permanecieron inaccesibles durante bastante tiempo, lo que supuso un riesgo para las personas físicas afectadas.

No obstante, si dicha pérdida o inaccesibilidad no supone un riesgo para los derechos y libertades de las personas físicas en cuestión (por ejemplo, datos de baja importancia como puedan ser los datos técnicos), no es necesario notificarlo.

Cuando sea necesario, el responsable del tratamiento realizará la notificación lo antes posible y, en la medida de lo posible, en un plazo de 72 horas después de tener conocimiento de la violación.

Si el encargado del tratamiento trata los datos en cuestión siguiendo instrucciones de un tercero (por ejemplo, su cliente), deberá avisarle del incidente lo antes posible para que pueda realizar las notificaciones necesarias o avisarle si no es la persona responsable del tratamiento.

Por otra parte, si la violación puede suponer un riesgo elevado para las personas, también deberá informarles directamente. El nivel de riesgo se evaluará teniendo en cuenta el tipo de datos, la población (clientes, pacientes, empleados, menores, personas vulnerables) y las posibles consecuencias de la violación para las personas afectadas (por ejemplo, la pérdida definitiva de datos de salud de un paciente puede presentar un riesgo elevado).

 

Soy responsable del tratamiento y mi infraestructura ha sido considerada «no recuperable» tras el incendio, pero tengo copias de seguridad. ¿Debería notificar a la autoridad de control?

No es necesario notificar a la autoridad si la ejecución de un plan de recuperación ante desastres (DRP) o de un plan de continuidad del negocio (BCP) ha permitido garantizar la continuidad del servicio y los datos han podido restaurarse o van a poder recuperarse utilizando estas copias de seguridad, sin consecuencias significativas para las personas.

 

Utilizo los servicios Exchange de OVHcloud y los mensajes de correo electrónico que me enviaron o que envié durante el incidente han llegado tarde. ¿Debería notificarlo a mi autoridad de protección de datos?

La aplicación de los DRP y BCP de OVHcloud ha permitido restaurar los datos a partir de las copias de seguridad. Por lo tanto, se han reducido las consecuencias para las personas afectadas (la imposibilidad temporal de acceder a los correos electrónicos). En este caso, no es necesario realizar ninguna notificación, a menos que se demuestre que existe un riesgo para las personas afectadas.

 

Mis servicios de correo electrónico no estuvieron accesibles durante varias horas después del incidente, pero no se produjo ninguna pérdida. ¿Debería notificar la falta de disponibilidad?

No, solo deben notificarse las «violaciones de datos personales». La falta de disponibilidad temporal no se define como una violación según el artículo 4, apartado 12, del RGPD.