PROFESIONALES EN PROTECCIÓN DE DATOS

Brecha de seguridad: Qué debe contener la notificación

On noviembre 22, 2018

Brecha de seguridad: Qué debe contener la notificación

Según el artículo 33 del Reglamento General de Protección de Datos (RGPD), en caso de brecha de la seguridad que afecte a los datos personales, el responsable del tratamiento deberá notificar a la autoridad de control competente lo antes posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Se considera que se tiene constancia de una brecha de seguridad cuando hay una certeza de que se ha producido y se tiene conocimiento suficiente de su naturaleza y alcance. El criterio a tener en cuenta para determinar si un incidente ha producido “una brecha de la seguridad de los datos personales” se recoge en el propio RGPD, e incluye “todas aquellas brechas de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La notificación deberá realizarse a través del formulario publicado en la sede electrónica de la Agencia Española de Protección de Datos.

Esta comunicación deberá contener la siguiente información:

  • Descripción de la naturaleza de la violación de la seguridad, indicando las categorías y número de registros de datos personales afectados.
  • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, en su caso, las medidas adoptadas para mitigar los efectos negativos que se hubieran producido.
  • En aquellos casos en que la violación de la seguridad de los datos personales suponga un alto riesgo para los usuarios (por ejemplo: pérdida de control de sus datos personales, robo de identidad), les será comunicada esta circunstancia.
  • El contenido de la comunicación a los interesados será expresado en un lenguaje claro y sencillo.Esta comunicación, debería contener como mínimo:
    • Descripción general del incidente y momento en que se ha producido.
    • Las posibles consecuencias de la brecha de la seguridad de los datos personales.
    • Descripción de los datos e información personal afectados.
    • Resumen de las medidas implantadas hasta el momento para controlar los posibles daños y datos de contacto para obtener más información.

También se debe tener en cuenta que el artículo 34 del RGPD establece que cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicarla también a los afectados.

La notificación se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que se considere adecuado. No se tendrá que comunicar la violación de la seguridad a los interesados en las siguientes circunstancias:

  • Cuando se hubieran adoptado medidas de protección que hagan indescifrable e inaccesible los datos personales afectados por la violación de la seguridad para cualquier persona que no tenga acceso autorizado (por ejemplo, el cifrado).
  • Cuando la comunicación suponga un esfuerzo desproporcionado, debiéndose en este caso realizar una comunicación pública sobre la violación de la seguridad de los datos.
  • By mariona  0 Comments