Simulación de Formulario Notificación de Brechas de datos personales

Datos del solicitante que realiza el trámite

*¿Qué relación tiene con la persona o entidad a la que se refiere el trámite? (Seleccione "Actúo en nombre propio" si quiere presentar el trámite en su propio nombre. Seleccione "Soy un representante" si quiere presentar el trámite en nombre de otra persona, en cuyo caso deberá presentar documentación acreditativa de la representación )
Actúo en nombre propioSoy representante

Datos del Solicitante

*Nombre y apellidos del alumno:

*Medio de Notificación (Las notificaciones electrónicas resultantes de la tramitación de su solicitud, serán enviadas a las plataformas DEH (Dirección Electrónica Habilitada) y a Dirección Electrónica Habilitada única (DEHú). Para acceder a ellas deberá disponer de un certificado digital emitido por los prestadores de servicios autorizados admitidos por la plataforma @firma o DNI electrónico. El acceso a Dirección Electrónica Habilitada única (DEHú) podrá realizarlo utilizando cualquiera de los medios de autenticación admitidos por la plataforma Cl@ve (certificado digital, DNI electrónico, Cl@avePIN o Cl@avePermanente). Las notificaciones postales se realizarán por correo, en papel, al domicilio indicado,salvo que acceda por medios electrónicos en los dos primeros días, en cuyo caso, por razones de eficiencia no se procede a su impresión. La notificación postal solo está disponible para personas físicas)
Notificación PostalNotificación Electrónica

Datos de la brecha de datos personales

Primera notificación o notificaciones sucesivas

*¿Cuál es su intención?
Modificar una notificación hecha con anterioridad para proporcionar información relevanteNotificar una nueva brecha de datos personales

*Marque la opción más adecuada a la situación del responsable en el momento de esta notificación:
Esta notificación es COMPLETA, no está previsto aportar más información.Esta notificación es INICIAL a los efectos de cumplimiento con el plazo de notificación establecido en el RGPD. En el plazo máximo de 30 días se notificará información adicional.

Sobre el tratamiento

*¿Desde cuándo se viene realizando este tratamiento de datos?
Se trata de un tratamiento puntual o muy limitado en el tiempoMenos de 1 añoEntre 1 y 5 añosMás de 5 años

*Número aproximado de personas físicas sobre las que recoge, almacena o trata datos personales de otra forma; referido exclusivamente al tratamiento sobre el que se ha producido la brecha de datos personales:

*El tratamiento sobre el que se ha producido la brecha incluye datos de personas:
Únicamente en España, a nivel local / municipalÚnicamente en España, a nivel provincial / comunidad autónomaÚnicamente en España, a nivel nacionalEn un único Estado miembro, pero no en EspañaEn más de un Estado miembroEn más de un Estado miembro y a terceros paísesA nivel mundial

Sobre la brecha y sus consecuencias

*El incidente ha sido:
Accidental o sin intencionalidadIntencionado, para hacer daño al responsable / encargado o a las personas afectadasDesconocido

*El origen del incidente ha sido:
Interno: Personal o sistemas bajo el control del responsable del tratamientoInterno: Personal o sistemas bajo el control del encargado del tratamientoExterno: Otros, ajenos al responsable y encargado del tratamiento

*¿Qué puede haber ocurrido? Puede seleccionar varias opciones:
Revelación verbal no autorizada de datos personalesDocumentación perdida, robada o depositada en localización inseguraCorreo postal perdido, abiertoEliminación incorrecta de datos personales en formato papelDatos personales enviados por error (postal o electrónicamente)Datos personales eliminados / destruidosAbuso de privilegios de acceso por parte de empleado para extraer, reenviar o copiar datos personalesDatos personales residuales en dispositivos obsoletosPublicación no intencionada / autorizadaEnvío de correo electrónico a múltiples destinatarios sin copia oculta / lista de distribuciónDispositivo perdido o robadoCiberincidente: Dispositivo cifrado / secuestro de informaciónCiberincidente: Suplantación de identidad (phishing) / Compromiso de cuenta de usuario o administradorCiberincidente: Acceso no autorizado a datos en sistema de información (corporativo o servicio en internet)Incidencia técnicaModificación no autorizada de datosDatos personales mostrados al individuo incorrecto

*Como consecuencia del incidente, se ha visto afectada la:
Confidencialidad: Personas u organizaciones que no están autorizadas, o no tienen un propósito legítimo para acceder a los datos, han podido acceder y/o extraerlosDisponibilidad: Se han destruido, perdido o cifrado los datos personales, de forma que no pueden ser tratadosIntegridad: Se han alterado los datos personales, siguen siendo accesibles, pero la sustitución de datos puede suponer un daño para las personas afectadas

En caso de haber marcado confidencialidad, ¿están los datos cifrados de forma segura, anonimizados o protegidos de forma que son ininteligibles para quien haya podido tener acceso o no se puede identificar a las personas?
No marqué esa opciónSíNoDesconocido

En caso de haber marcado disponibilidad, ¿se ha recuperado la disponibilidad de los datos personales de forma que pueden ser tratados con normalidad?
No marqué esa opciónSíNoTodavía no, pero se recuperará en breve

En caso de haber marcado integridad, seleccione la opción más apropiada:
No marqué esa opciónDatos alterados, pero sin constancia de uso ilegal o incorrectoDatos alterados y usados de forma ilegal o incorrecta, pero con la posibilidad de revertir / recuperar los dañosDatos alterados y usados de forma ilegal o incorrecta y sin posibilidad de revertir / recuperar los daños

*¿Cuáles podrían ser las consecuencias sobre las personas físicas?
Imposibilidad de ejercer algún derechoImposibilidad para acceder a un servicioUsurpación de identidadSer víctima de campañas de phishing / spammingPérdidas financierasDaños reputacionalesPérdida de confidencialidad de datos afectados por secreto profesionalDaños psicológicos o físicosPérdida de control sobre sus datos personalesOtras consecuenciasAún desconocido

*¿En qué grado podrían afectar las consecuencias identificadas a las personas físicas?
Las personas pueden enfrentar consecuencias muy significativas, o incluso irreversibles, que no pueden superar (exclusión o marginación social, dificultades financieras tales como deudas considerables o incapacidad para trabajar, dolencias psicológicas o físicas a largo plazo, muerte, etc.). Daña derechos fundamentales y libertades públicas de forma irreversibleLas personas pueden encontrar inconvenientes importantes, produciendo un daño limitado, que podrán superar a pesar de algunas dificultades (costos adicionales, denegación de acceso a servicios comerciales, miedo, falta de comprensión, estrés, dolencias físicas menores, etc.)Las personas no se verán afectadas o pueden encontrar algunos inconvenientes muy limitados y reversibles que superarán sin ningún problema (tiempo de reingreso de información, molestias, irritaciones, etc.)Las personas pueden enfrentar consecuencias significativas, que deberían poder superar, aunque con serias dificultades (malversación de fondos, listas negras de los bancos, daños a la propiedad, pérdida de empleo, citación judicial, empeoramiento de la salud, etc.). En general cuando las consecuencias afectan a derechos fundamentales, pero pueden revertirseAún desconocido

*A fecha de esta notificación, ¿tiene constancia de que se hayan materializado alguno de los daños identificados, con el grado indicado en la cuestión anterior?
SíNo

En caso de haber marcado "No", como valora la probabilidad de que el daño anterior se materialice sobre las personas afectadas con la severidad indicada
ImprobableBajaAltaMuy altaDesconocida

*Introduzca una breve descripción de lo ocurrido. Evite incluir datos personales, fórmulas del tipo "Ver anexo" y en ningún caso lo aquí escrito podrá suponer una modificación sobre lo consignado en el resto del formulario (Número mínimo de caracteres 100, número máximo de caracteres 1500).

Tipos de datos afectados

*Seleccione los tipos de datos que se han visto afectados, exclusivamente de personas físicas, marque todas las opciones aplicables:
BiométricosDatos básicos (Ej: nombre, apellidos, fecha de nacimiento)Sobre religión o creenciaImagen (Fotos o vídeos)DNI, NIE, Pasaporte y / o cualquier otro documento identificativoSobre condenas e infracciones penalesSobre afiliación sindicalDatos económicos o financieros (sin medios de pago)Datos de medios de pago (Tarjeta bancaria, etc...)Sobre la vida sexualDatos de localizaciónDatos de contactoSobre el origen racial o étnicoDatos de perfiles (Ej: perfil de usuario en red social, perfil de solvencia, perfil psicológico, etc...)De salud (exclusivamente de empleados, los imprescindibles para la relación laboral)De salud (otros datos de salud)Sobre opinión políticaGenéticosCredenciales de acceso o identificación (usuario y / o contraseña)

Perfil de los afectados, referido exclusivamente a personas físicas

Estas cuestiones se refieren exclusivamente a personas físicas. En términos de afectados no computan como tal aquellos afectados que sean personas jurídicas, ya sean sus clientes, proveedores o cualquier otra relación que pueda mantener su organización con ellos.

*Entre las personas afectadas, ¿hay menores?
SíNoDesconocido

*Entre las personas afectadas, ¿hay miembros de colectivos vulnerables como supervivientes de violencia de género o en riesgo de exclusión social?
SíNoDesconocido

*Las personas afectadas tienen los siguientes perfiles:
Clientes / CiudadanosEstudiantes / AlumnosUsuariosPacientesSuscriptores / Potenciales clientesAfiliados / AsociadosMilitares / PolicíasEmpleadosOtros

*En total, ¿cuántas personas han visto sus datos afectados por la brecha de datos personales? (si desconoce el valor exacto, indique un valor aproximado)

*¿Hay personas afectadas por la brecha en otros estados miembro de la UE?
SíNoDesconocido

Información temporal de la brecha

*Indique la fecha de detección de la brecha, entendida como la fecha en la que el responsable tiene la certeza de que se han visto afectados datos personales:

*¿Conoce la fecha en la que se inició la brecha?
La fecha exactaAproximadamente / EstimadaDesconocida

En caso de haber marcado fecha exacta o aproximada, indique la fecha de inicio de la brecha:

*La brecha se ha detectado mediante:
Medios de detección implementados proactivamente por el responsable o encargado de tratamientoComunicación de algún afectadoAlgún medio de comunicaciónLa advertencia de un miembro de la organización del responsable o el encargadoUn tercero ajenoOtros

Medidas de seguridad antes de la brecha

*Marque las medidas de seguridad implementadas en la organización antes del suceso de la brecha (Deberá poder acreditar las medidas marcadas ante un eventual requerimiento de la autoridad de control):
Políticas de protección de datos y seguridadFormación en protección de datos y seguridad de la información al nivel adecuadoLos sistemas informáticos se mantienen actualizadosRegistro de incidentesAuditorías periódicasControl de acceso físicoControl de acceso lógicoNiveles de acceso a los datosCifrado de los datosCopia de seguridadAnonimizaciónNinguna de las anteriores

*¿Se podría haber evitado la brecha adoptando alguna medida de seguridad adicional?
SíNoDesconocido

*¿Se ha producido el incidente por algún fallo deficiencia o incumplimiento de medidas de seguridad implementadas?
SíNoDesconocido

*¿Dispone de un análisis de riesgos documentado que justifique las medidas de seguridad adoptadas previamente al incidente?
SíNo

Acciones tomadas tras el incidente

*¿Ha actualizado su registro de incidentes con la información de esta brecha de datos personales?
SíNoDesconocido

*¿Ha adoptado tras el incidente nuevas medidas de seguridad que podrían haber evitado la brecha?
SíNoDesconocido

*¿Ha adaptado / mejorado sus procedimientos y políticas de seguridad?
SíNoDesconocido

En caso de haber marcado sí, marque exclusivamente las nuevas medidas de seguridad y las que se hayan actualizado:
Políticas de protección de datos y seguridadFormación en protección de datos y seguridad de la información al nivel adecuadoLos sistemas informáticos se mantienen actualizadosRegistro de incidentesAuditorías periódicasControl de acceso físicoControl de acceso lógicoNiveles de acceso a los datosCifrado de los datosCopia de seguridadAnonimizaciónNinguna de las anteriores

*¿Ha puesto el incidente en conocimiento de las autoridades policiales / judiciales por considerar que es constitutivo de delito?
SíNo

*¿Considera que ha tomado todas las acciones posibles y da por resuelta la brecha?
SíNoDesconocido

En caso de haber marcado sí, indique la fecha en la que se dio por resuelta la brecha:

Comunicación a los afectados por la brecha de datos personales

La comunicación de la brecha a los afectados debe ser en un lenguaje claro y sencillo, incluir detalles de lo ocurrido, así como los datos de contacto a dónde dirigirse para obtener más información, las posibles consecuencias de la brecha sobre ellos, las medidas adoptadas para resolver la brecha y las medidas adoptadas y propuestas para minimizar el impacto negativo de la brecha.

*¿Se ha comunicado la brecha a las personas afectadas en las condiciones anteriormente descritas?
SíNo, pero serán informadosNo serán informadosPendiente de decidir

En caso de haber marcado sí, datos de la comunicación a las personas cuyos datos se han visto afectados

En caso de haber marcado sí, fecha en la que se informó:

En caso de haber marcado sí, número de personas informadas:

En caso de haber marcado sí, medio por el que se ha informado:
Telefónicamente o verbalmenteComunicación dirigida personalmente a cada afectado (postal, email, sms o similar)Comunicación dirigida personalmente a cada afectado (postal, email, sms o similar) con garantía de entrega y lecturaComunicado público o publicación en web corporativaDifusión en medios de comunicación

En caso de haber marcado no, pero serán informados, las personas afectadas serán informadas en un lenguaje claro y sencillo de lo ocurrido, así como los datos de contacto a dónde dirigirse para obtener más información, las posibles consecuencias de la brecha sobre ellos, las medidas adoptadas para resolver la brecha, y las medidas adoptadas y propuestas para minimizar el impacto negativo de la brecha

En caso de haber marcado no, pero serán informados, a más tardar, las personas afectadas serán informadas en la siguiente fecha:

En caso de haber marcado no, pero serán informados, medio por el que se informará:
Telefónicamente o verbalmenteComunicación dirigida personalmente a cada afectado (postal, email, sms o similar)Comunicación dirigida personalmente a cada afectado (postal, email, sms o similar) con garantía de entrega y lecturaComunicado público o publicación en web corporativaDifusión en medios de comunicación

En caso de haber marcado no serán informados, los afectados no serán informados

En caso de haber marcado no serán informados, las personas afectadas no serán informadas porque:
No marqué esa opciónNo existe un riesgo alto para sus derechos y libertadesNo hay ninguna acción que puedan llevar a cabo para mitigar los daños que les causará la brecha de datos personalesEl daño reputacional para la organización sería muy elevadoLa comunicación supone un esfuerzo excesivoPodría interferir en la investigación policial / judicial en cursoOtros

Delegado de Protección de Datos

*¿Tiene designado un DPD el responsable del tratamiento?
SíNo

Responsable del tratamiento

Responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

*Indique el tipo de organización:
Organización privadaOrganización pública

*Tipo de organización:
Autónomo o microempresa (menos de 10 trabajadores)PYMEGran empresa o multinacionalOtros

*Nombre de la Organización:

Encargado de tratamiento

*¿Hay implicado un encargado de tratamiento en la brecha de datos personales?
SíNo

En caso de haber marcado sí, tipo de organización:
No marqué esa opciónOrganización privadaOrganización pública

En caso de haber marcado sí, nombre de la organización:

Enviar su notificación de brecha de datos personales

Al enviar esta notificación declaro que todos los datos consignados son ciertos y cuento con la autorización del responsable/s de tratamiento identificados en este formulario para notificar una brecha de datos personales su representación.

Cláusula informativa sobre datos de carácter personal

DECLARO que los datos consignados en esta notificación de brecha de datos personales son ciertos y que no se ha omitido ni falseado información siendo fiel expresión de la verdad, asumiendo las obligaciones y responsabilidades que se derivan de la misma. Asimismo, que he leído la cláusula informativa que se expone a continuación.

Los datos de carácter personal serán tratados por la Agencia Española de Protección de Datos e incorporados a la actividad de tratamiento Gestión de brechas de datos personales , cuya finalidad es la gestión y evaluación de la notificación de violación de seguridad.

Finalidad basada en el ejercicio de potestades públicas conferidas a la Agencia Española de Protección de Datos por el Reglamento General de Protección de Datos y la Ley General de Telecomunicaciones.

Los datos personales podrán ser comunicados al CERT (Computer Emergency Response Team) del Centro Criptológico Nacional, a las Fuerzas y Cuerpos de Seguridad del Estado, al Comité Europeo de Protección de Datos, a las Autoridades de Protección de Datos de la Unión Europea, y a la red de equipos de respuesta a incidentes de seguridad informática («red de CSIRT», por sus siglas en inglés de «computer security incident response teams»), creada por la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

Los datos serán conservados durante el tiempo necesario para cumplir con la finalidad para la que se han recabado y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación la normativa de archivos y patrimonio documental español.

Para solicitar el acceso, la rectificación, supresión o limitación del tratamiento de los datos personales o a oponerse al tratamiento, en el caso de se den los requisitos establecidos en el Reglamento General de Protección de Datos, así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personal y garantía de los derechos digitales, puede dirigir un escrito al responsable del tratamiento, en este caso, la AEPD, dirigiendo el mismo a la Agencia Española de Protección de Datos, C/Jorge Juan, 6, 28001- Madrid o en el registro electrónico de la AEPD.

Datos de contacto del DPD: dpd@aepd.es