Artículo 33

Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, como mínimo:

(a)

describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

(b)

comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

(c)

describir las posibles consecuencias de la violación de la seguridad de los datos personales;

(d)

describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

¿Qué significa?

Para hacer frente a una violación de los datos personales, el responsable del tratamiento debe primero ser capaz de reconocer una violación.

Una violación de la seguridad para el RGPD es una violación que conduce a la destrucción accidental o ilegal, la pérdida, la alteración o la divulgación no autorizada de los datos personales transmitidos, almacenados o tratarotro modo, o el acceso a los mismos.

La definición de violación de datos personales del RGPD sólo incluye los hechos que conducen a la destrucción accidental o ilegal, la pérdida, la alteración o la divulgación no autorizada de datos personales o el acceso a los mismos.

Por ejemplo, puede producirse una violación de los datos personales cuando el software del responsable del tratamiento no está lo suficientemente protegido como para permitir el acceso de personas ajenas a los datos personales (por ejemplo, por piratería informática).

Sin embargo, también puede ser el manejo de los datos personales por parte del responsable del responsable del tratamiento lo que puede causar una infracción, por ejemplo, si el responsable del tratamiento divulga o modifica los datos personales sin autorización.

Otro ejemplo, el responsable del tratamiento también puede no tener acceso a los datos personales o, como consecuencia de un acontecimiento imprevisto (por ejemplo, un incendio o una inundación), acaba destruyendo los datos personales.

Ejemplos de violaciones de datos personales:

  1. Personas distintas del responsable del tratamiento o responsable del tratamiento autorizados tienen acceso (no autorizado) a los datos personales. Puede tratarse tanto de personas ajenas a la organización del responsable del tratamiento como de personas pertenecientes a ella.
  2. Los empleados del responsable del tratamiento modifican o borran accidentalmente los datos personales.
  3. Las personas no autorizadas pueden acceder a los datos personales, por ejemplo, el número de identificación nacional, los datos de la tarjeta de crédito, etc.
  4. Los empleados pueden transmitir, sin saberlo o a sabiendas, los datos personales de un ciudadano/cliente a otro ciudadano/cliente, o incluso a varios interesados.
  5. La falta de cifrado del sitio web del responsable del tratamiento, por ejemplo, del inicio de sesión del cliente, podría dar lugar a que una o varias personas no autorizadas accedieran directamente a los datos del cliente.

Cuando una infracción no se gestiona de forma adecuada y oportuna, puede causar daños físicos, materiales o inmateriales a las personas, por ejemplo.

  • una pérdida de control sobre sus datos o la restricción de sus derechos,
  • la discriminación,
  • robo de identidad o fraude,
  • pérdida financiera,
  • eliminación no autorizada de la seudonimización,
  • daño a la reputación,
  • pérdida de la confidencialidad de la información amparada por el secreto profesional.

En general, hay que informar de todas las violaciones de datos personales a la Autoridad de Protección de Datos. No es necesaria la notificación si es improbable que la violación de los datos personales ponga en peligro los derechos o libertades de las personas físicas.

Un riesgo para los derechos y libertades de las personas físicas incluye:

  • La discriminación.
  • Robo de identidad o fraude.
  • Pérdida financiera.
  • Daño a la reputación.
  • Pérdida de la confidencialidad de los datos o cualquier otro perjuicio económico o social importante para el interesado.

El responsable del tratamiento debe evaluar la probabilidad de que la infracción suponga un riesgo para los derechos de las personas afectadas inmediatamente después de tener conocimiento de la misma.

Siempre hay que tener en cuenta los siguientes factores a la hora de evaluar el riesgo para los derechos y libertades de los interesados derivado de una violación de los datos personales:

  • El tipo de violación de la seguridad, incluyendo si ha habido una pérdida de datos, una violación de la confidencialidad o una violación de la integridad;
  • La naturaleza y el alcance de los datos;
  • El riesgo de que los interesados puedan ser identificados;
  • Consecuencias que la violación puede tener para los interesados;
  • Si la violación afecta a sujetos de datos específicos (por ejemplo, si son niños o personas vulnerables);
  • el número de personas físicas afectadas;

El responsable del tratamiento deberá documentar todas las las violaciones de los datos personales, incluidos los hechos de la violación de los datos personales, sus efectos y las medidas correctivas adoptadas.

En este contexto, es irrelevante que el responsable del tratamiento esté obligado a notificar la infracción a la Autoridad de Protección de Datos.

Esta obligación de documentación tiene por objeto permitir a la Autoridad de Protección de Datos comprobar si se ha cumplido la obligación de notificar determinadas infracciones.

La documentación debe contener información sobre el incumplimiento,

incluyendo los hechos de la infracción, sus efectos y la reparación

medidas. Los requisitos de la documentación también pueden ser los siguientes.

  • Fecha y hora de la infracción
  • ¿Qué ocurrió durante la brecha?
  • ¿Cuál es la causa del incumplimiento?
  • ¿Qué (tipos de) datos personales están afectados por la violación?
  • ¿Cuáles son las consecuencias del incumplimiento para las personas afectadas?
  • ¿Qué medidas correctoras se han adoptado?
  • ¿Ha notificado a la Autoridad de Protección de Datos?

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About