Artículo 34

Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida

2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).

3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

(a)

el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

(b)

el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

(c)

suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

¿Qué significa?

El artículo 34 del RGPD contempla la obligación de las organizaciones de notificar a las personas las violaciones de datos personales que puedan suponer un alto riesgo para sus derechos y libertades.

La obligación de notificar una violación de datos al interesado surge cuando es probable que la violación de los datos personales suponga un alto riesgo para los derechos y libertades de las personas físicas. En tales casos, las organizaciones están obligadas a informar a las personas afectadas lo antes posible.

Es probable que una violación de datos personales suponga un alto riesgo para los derechos y libertades de las personas físicas cuando pueda tener efectos adversos significativos para los individuos, como discriminación, usurpación de identidad, pérdidas financieras o daños a la reputación.

Una notificación de violación de datos en virtud del artículo 34 del RGPD debe incluir la información mencionada en el artículo 33. Esto incluye información como:

  • Descripción de la naturaleza de la violación de los datos personales
  • Las categorías y el número aproximado de personas afectadas
  • Consecuencias probables de la violación de datos personales
  • Las acciones y medidas que debe adoptar la organización para hacer frente a la violación de datos y mitigar sus efectos negativos.

Sí, hay excepciones a la obligación de notificación. Una organización no está obligada a notificar a los particulares una violación de datos personales si:

  • La organización ha aplicado medidas de protección técnicas y organizativas adecuadas, como el cifrado, que hacen que los datos personales sean ininteligibles para las personas no autorizadas.
  • La organización ha tomado medidas para prevenir el alto riesgo para los derechos y libertades de las personas.
  • En situaciones en las que notificar directamente a las personas sería excesivo, se pueden utilizar métodos alternativos para informarles públicamente.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About