Skip to content

Obligaciones de notificación y comunicación de violaciones de seguridad de los datos personales

Los responsables y encargados del tratamiento están sometidos a una nueva obligación con la aprobación del Reglamento General de Protección de Datos (RGPD), la notificación de violaciones de seguridad de los datos personales. Los responsables deberán notificar a la autoridad de control y comunicar a los interesados. Por su parte los encargados del tratamiento están obligados a notificar a los responsables.

La definición de violación de la seguridad de los datos personales se encuentra definida en el artículo 4 del RGPD: “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

El RGPD recoge las dos modalidades de notificación en sus artículos 33 y 34, tanto a la autoridad de control como a los afectados.

En el caso de la notificación a la autoridad de control, el responsable tiene la obligación de efectuarla sin dilación indebida, y de ser posible, en no más de 72 horas desde que tenga constancia de la misma. Deberá notificarla a la autoridad de control competente (en virtud del artículo 55), con carácter general la del territorio del establecimiento principal del responsable. No será necesaria la notificación cuando la violación de la seguridad de los datos personales no constituya un riesgo para los derechos y libertades de los afectados. Si la notificación se produce pasadas las 72 horas, esta deberá ir acompañada de una justificación motivada, podríamos pensar en excepciones de origen legislativo, que una investigación pudiera ser alterada o la generación de un riesgo mayor en los derechos y libertades de las personas afectadas.

La violación debe ser comunicada a los interesados, de manera clara y sencilla, cuando esta pueda entrañar un alto riesgo para sus derechos y libertades, de nuevo sin dilación indebida. La finalidad de esta notificación es que el interesado pueda tomar las precauciones necesarias para evitar consecuencias mayores. Bajo una serie de excepciones tasadas, el responsable podría no notificar la violación:

  • Si había adoptado las medidas técnicas y organizativas apropiadas que, aplicadas a los datos comprometidos hiciera a estos ininteligibles y no permitiera su acceso por parte de terceros, por ejemplo el cifrado.
  • Cuando adopte medidas ulteriores que puedan asegurar que no se vaya a producir ningún riesgo para los derechos y libertades de los interesados.
  • Que le suponga un esfuerzo desproporcionado. En este caso se debería llevar a cabo una comunicación pública o semejante que hiciera igualmente efectiva la notificación.

Ambas notificaciones deben incluir información muy similar. Deberán describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones a tener en cuenta por los interesados para poder mitigar las posibles consecuencias. La notificación contendrá la categoría y número tanto de interesados afectados como del tipo de datos personales. La notificación debería incluir además:

  • La identidad del DPO u otro punto de contacto para más información.
  • La descripción de las posibles consecuencias de la violación de seguridad.
  • La descripción de las medidas adoptadas o propuestas por el responsable para detener y/o mitigar las consecuencias de la violación.

El RGPD establece para las dos notificaciones la obligación de plazo sin dilación indebida. Este concepto, que deberá ser precisado en la práctica, también deberá ser interpretado por el European Data Protection Body (nuevo organismo que sustituye al grupo de trabajo del artículo 29). El EDPB realizará las interpretaciones necesarias para establecer cuando será considerado indebido, y/o bajo qué circunstancias específicas debe aplicar la excepción justificativa de no notificación en plazo establecido.

Se puede precisar que los encargados de tratamiento únicamente deberán notificar ante los responsables y se deberá valorar la idoneidad de inclusión de esta obligación en los contratos de encargado de tratamiento.

La falta de cumplimiento de la obligación de notificación de violación de seguridad puede acarrear la sanción de multa hasta 10 millones de euros o hasta el 2% del total de la facturación anual.

Es exigible igualmente, cómo viene siendo habitual con el protocolo de gestión de incidencias, que se mantenga un registro documentado de cualquier violación de seguridad, con sus efectos y medidas correctivas.

Desde el punto de vista de las empresas, es indudable que deben prestar atención a sus protocolos de gestión y notificación de violaciones de seguridad, verificando que pueden dar cumplimiento a las nuevas obligaciones exigidas en el RGPD mediante la adopción de un plan de respuesta ante incidentes que permita la rápida detección, notificación y adopción de medidas correctoras.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s