PROCEDIMIENTO DE INCUMPLIMIENTO DE DATOS
1. Objeto
Este Procedimiento lo establece JELIC, ubicado en 66 Avenue des Champs-Élysées, 75008 París, que figura bajo el número de registro, Siren: 447 820 150 (en lo sucesivo, "el controlador").
Este Procedimiento tiene por objeto describir las medidas adoptadas por JELIC, en adelante el responsable del tratamiento, para prevenir la vulneración de datos y reaccionar de forma adecuada en caso de incidencia.
Este Procedimiento Global cubre todo el proceso, es decir, la implementación de medidas destinadas a:
en) Detectar inmediatamente una infracción; y
B) Haga un dique rápidamente; y
vs) Analizar los riesgos generados por el incidente y determinar si es oportuno notificar a la autoridad supervisora, o incluso a las personas interesadas.
Existe una violación de datos personales cuando:
en). El controlador de datos ha procesado datos personales; y
B) Estos datos han sido objeto de una violación (pérdida de disponibilidad, integridad o confidencialidad de los datos personales, accidental o ilegalmente).
Este Procedimiento se ajusta al deseo del responsable del tratamiento de actuar con total transparencia, de conformidad con sus disposiciones nacionales y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas con en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46 / CE (en lo sucesivo, el "Reglamento general de protección de datos").
2. Seguridad
Para evitar cualquier violación de datos, el controlador de datos ha implementado estrictas medidas de seguridad.
El controlador de datos presta especial atención a la protección de la privacidad de sus usuarios y, por lo tanto, se compromete a tomar las precauciones razonables necesarias para proteger los datos personales recopilados contra pérdida, robo, divulgación o uso no autorizado.
El responsable del tratamiento implementa las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad para el tratamiento y los datos recogidos con respecto a los riesgos que presenta el tratamiento y la naturaleza de los datos a proteger adaptados al riesgo. Tiene en cuenta el estado del conocimiento, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como los riesgos para los derechos y libertades de los usuarios.
El controlador de datos siempre utiliza tecnologías de encriptación que son reconocidas como estándares de la industria dentro del sector de TI cuando transfiere o recibe datos en el sitio web.
El responsable del tratamiento ha implementado las medidas de seguridad adecuadas para proteger y prevenir la pérdida, mal uso o alteración de la información recibida en el sitio web.
Prueba y evalúa periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad.
3. Reacción en caso de incidente
En el caso de que los datos personales que controla el responsable del tratamiento se vean comprometidos, actuará rápidamente para identificar la causa de esta infracción, en particular, documentando el incidente internamente y evaluando el riesgo, y tomará las medidas necesarias. medidas correctoras, si es necesario notificando el incidente a la autoridad supervisora y / o comunicándolo a la persona interesada.
4. Documentar el incidente internamente
Se trata de determinar:
La naturaleza de la violación; y
Si es posible, las categorías y el número aproximado de personas afectadas por la infracción: y
Las categorías y el número aproximado de registros de datos personales en cuestión; y
Describa las posibles consecuencias de la violación de datos; y
Describa las medidas tomadas o previstas para evitar que este incidente vuelva a ocurrir o para mitigar las consecuencias negativas.
5. Evaluación de riesgos
La evaluación de riesgos será evaluada caso por caso por el responsable del tratamiento y tendrá en cuenta los siguientes elementos:
en) El tipo de violación (que afecta la integridad, confidencialidad o disponibilidad de los datos); y
B) La naturaleza, sensibilidad y volumen de los datos personales en cuestión; y
vs) La facilidad para identificar a los afectados por la infracción; y
D) Las posibles consecuencias de estos para las personas; y
mi) Las características de estas personas (niños, personas vulnerables, etc.); y
F) El volumen de personas involucradas; y
gramo) Las características del responsable del tratamiento (naturaleza, función, actividades).
6. Notificación a la autoridad supervisora
En el caso de una violación de datos personales, el controlador notificará la violación relevante a la autoridad supervisora competente lo antes posible y, si es posible, a más tardar 72 horas después de tener conocimiento de ella, a menos que no sea probable que la violación en cuestión crean un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación a la autoridad de control no se produce dentro de las 72 horas, va acompañada de los motivos del retraso.
La notificación debe, como mínimo:
en) Describir la naturaleza de la violación de datos personales incluyendo, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados; y
B) Comunicar el nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto del que se pueda obtener más información; y
vs) Describir las posibles consecuencias de la violación de datos personales; y
D) Describa las medidas tomadas o que el controlador se propone tomar para remediar la violación de datos personales, incluidas, en su caso, medidas para mitigar las consecuencias negativas.
7. Comunicación al interesado
Cuando es probable que una violación de datos personales genere un alto riesgo para los derechos y libertades de una persona física, el controlador comunica la violación de datos personales al interesado lo antes posible.
La comunicación al interesado describe en términos claros y simples la naturaleza de la violación de datos personales y contiene al menos la siguiente información:
en) La naturaleza de la violación; y
B) El nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto del que se pueda obtener más información; y
vs) Una descripción de las posibles consecuencias de la violación de datos personales; y
D) Una descripción de las medidas adoptadas o que el responsable del tratamiento se propone adoptar para subsanar el incumplimiento, incluidas, en su caso, medidas para paliar las consecuencias negativas.
La comunicación al interesado no es necesaria si se cumple una de las siguientes condiciones:
en) El responsable del tratamiento ha implementado las medidas técnicas y organizativas de protección apropiadas y estas medidas han sido aplicadas a los datos personales afectados por dicha violación, en particular las medidas que hacen que los datos personales sean incomprensibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; Donde
B) El responsable del tratamiento ha tomado medidas posteriores que garantizan que ya no es probable que se materialice el alto riesgo para los derechos y libertades de los interesados; Donde
vs) Requeriría un esfuerzo desproporcionado. Más bien, en este caso, se lleva a cabo una comunicación pública o una medida similar que permita informar de manera igualmente efectiva a los interesados.