Esta actividad comprende la detección, análisis, documentación, notificación y resolución de brechas de seguridad que puedan afectar a datos personales tratados por la AEI. Incluye la identificación de personas afectadas, la evaluación de riesgos, la implementación de medidas correctoras y, en su caso, la comunicación a la Agencia Española de Protección de Datos y a las personas interesadas.
El responsable del tratamiento de sus datos personales es
La Agencia Estatal de Investigación (AEI)
Torrelaguna, 58, PORTAL bis,
CP 28027, MADRID – ESPAÑA
Contacto de nuestra persona responsable de protección de datos (DPD) dpd@aei.gob.es
¿De dónde proceden los datos personales tratados?
- De las propias personas afectadas por la brecha de seguridad.
- De personal técnico o responsable de los sistemas implicados.
- De registros de actividad, sistemas de monitorización y herramientas de seguridad.
- De comunicaciones internas o externas relacionadas con la notificación o detección del incidente.
- De terceros encargados del tratamiento o proveedores de servicios que hayan identificado o comunicado el incidente.
¿Cuál es la finalidad del tratamiento de mis datos personales?
Detectar, analizar, documentar, gestionar y notificar las brechas de seguridad que afecten a datos personales tratados por la AEI, conforme a lo previsto en el Reglamento General de Protección de Datos y en el Esquema Nacional de Seguridad.
Incluye la evaluación del impacto, la mitigación de riesgos, la comunicación a las personas afectadas (cuando proceda) y la notificación a la Agencia Española de Protección de Datos.
¿Cuál es la base legal para el tratamiento de mis datos personales?
- Artículo 6.1.c) del RGPD: cumplimiento de una obligación legal.
- Artículo 6.1.e): ejercicio de funciones públicas.
- Artículo 32 y siguientes del RGPD y la normativa aplicable en materia de seguridad de la información.
Normativa aplicable:
- Reglamento (UE) 2016/679 (RGPD).
- Ley Orgánica 3/2018 (LOPDGDD).
- Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
¿Qué datos personales pueden ser tratados en esta actividad?
- Datos identificativos.
- Datos técnicos o de conexión (logs, direcciones IP, usuarios).
- Datos afectados por la brecha (según la naturaleza del incidente).
- Datos de contacto de personas notificantes, responsables o afectadas.
- Datos de las personas responsables de la gestión del incidente.
¿Qué categorías o grupos de personas se ven afectadas en este tratamiento?
Personas afectadas por la brecha de seguridad.
Personal técnico o responsables del tratamiento implicados en la gestión del incidente.
Personas notificantes o denunciantes del incidente.
Representantes de entidades externas involucradas.
¿Quién tiene acceso a los datos personales y a quién se comunican?
- Personal de la AEI responsable de la gestión de incidentes de seguridad.
- Delegado o Delegada de Protección de Datos.
- Agencia Española de Protección de Datos (en caso de notificación obligatoria).
- En su caso, personas afectadas por la brecha.
- Proveedores de servicios tecnológicos implicados en la resolución del incidente.
¿Se realizan transferencias internacionales de datos personales?
No se prevén transferencias internacionales de datos personales en el marco de esta actividad de tratamiento.
En caso excepcional de que alguna solicitud implique el tratamiento de datos que deban ser comunicados a entidades situadas fuera del Espacio Económico Europeo (EEE), la AEI adoptará las garantías adecuadas previstas en los artículos 44 a 49 del Reglamento General de Protección de Datos, informando previamente a la persona solicitante o afectada, y documentando la base jurídica correspondiente.
¿Se adoptan decisiones automatizadas o se elaboran perfiles con los datos personales?
No se adoptan decisiones automatizadas ni se elaboran perfiles con base en los datos personales tratados en esta actividad, conforme a lo previsto en el artículo 22 del Reglamento General de Protección de Datos.
¿Durante cuánto tiempo se conservan los datos personales?
Durante el tiempo necesario para documentar y resolver el incidente, y durante los plazos legalmente establecidos para fines de auditoría, control y prevención de riesgos futuros.
Una vez finalizados, los datos podrán conservarse de forma anonimizada con fines estadísticos o de análisis de seguridad.
¿Qué derechos tengo en relación con mis datos personales?
Las personas afectadas por una brecha de seguridad pueden ejercer sus derechos de protección de datos ante la AEI, incluyendo el derecho a ser informadas cuando la brecha suponga un alto riesgo para sus derechos y libertades (art. 34 RGPD).
¿Qué medidas se adoptan para proteger mis datos personales?
La Agencia Estatal de Investigación (AEI) aplica en todas sus actividades de tratamiento las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del Reglamento General de Protección de Datos (RGPD) y al Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo.
Estas medidas incluyen políticas de gestión de la seguridad de la información, control de accesos, protección contra software malicioso, cifrado, copia de seguridad, registro de actividades, gestión de incidentes, formación del personal, y otras medidas técnicas y organizativas adaptadas al nivel de riesgo identificado.
Dichas medidas se revisan y actualizan periódicamente y se aplican de forma transversal a todas las actividades de tratamiento gestionadas por la AEI.