Que podemos considerar como incidente de seguridade en protección de datos?
Calquera evento que produza o risco de que datos de carácter persoal sufran algunha afectación nas dimensións de seguridade definidas polo Esquema Nacional de Seguridade:
- Confidencialidade (os datos só deben coñecelos as persoas interesadas e debidamente autorizadas)
- Integridade (deben estar completos, sen perdas de información)
- Autenticidade (non deben recoller información falsa)
- Trazabilidade (deben proceder de fontes identificadas e saberse quen fixo que durante a súa permanencia nos nosos sistemas).
- Dispoñibilidade (deben estar á disposición das persoas autorizadas)
Exemplos:
- Enviamos unha notificación coa resolución dun expediente á persoa equivocada, poñendo no seu coñecemento datos persoais do titular da resolución.
- Enviamos un correo electrónico a un grupo de persoas, algunhas delas de fóra da USC, cos enderezos de correo visibles no campo “Para”.
- Extraviamos ou róubannos un dispositivo portátil contendo datos persoais.
- Sufrimos unha intrusión nos nosos sistemas que provoca o borrado, alteración ou copiado de información persoal.
- Un ataque de encriptación de datos fai que non teñamos acceso a eles.