Notificación de violaciones de seguridad en el RGPD. Parte I

Martes, 14 Febrero 2017 11:25
Publicado en Blog
Escrito por  Visto 2417 veces
Valora este artículo
(1 Voto)

Una novedad del Reglamento General de Protección de Datos es la obligación de que todo responsable de tratamiento debe notificar las violaciones de seguridad tanto a la autoridad de control competente (art.33 RGPD) como a los interesados/afectados (Art.34 RGPD).

Actualmente, la Directiva 2002/58/CE establece la obligación de notificar las quiebras de seguridad sólo respecto de los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obligación incorporada al Derecho español por la reforma del artículo 34 de la Ley General de Telecomunicaciones. Para ello la AEPD tiene establecido un sistema de notificación de quiebras de seguridad a través de su Sede Electrónica.

La norma europea define violación de la seguridad de los datos personales, como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La obligación recogida en el RGPD consiste en que el responsable del tratamiento, ante cualquier violación de seguridad, deberá notificarla ante la autoridad competente de su país. Una vez más el RGPD recurre al término sin dilación indebida para indicar el plazo de notificación, estableciendo un máximo de 72 horas desde que se tuvo constancia de la violación. Si se realiza la notificación pasadas esas 72 horas, la misma deberá ir acompañada de la justificación del retraso.

También el encargado de tratamiento deberá notificar al responsable del tratamiento, si o sí, sin dilación indebida las violaciones de seguridad de las que tenga conocimiento.

En el apartado 1 del artículo 33 del RGPD encontramos como excepción a esta notificación que “sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Es decir, la norma europea deja a criterio, discusión y decisión de notificar al propio responsable del tratamiento. Un punto débil que esperemos que la AEPD refuerce.

Respecto al contenido mínimo de las notificaciones:

1. Naturaleza de la violación de la seguridad de los datos personales.

2. Cuando sea posible:

a. Las categorías y el número aproximado de interesados afectados.
b. Las categorías y el número aproximado de registros de datos personales afectados.

3. Nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

4. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

5. Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales.

6. Las medidas adoptadas para mitigar los posibles efectos negativos, si procede.

El RGPD habilita a que si no se conoce toda la información en el plazo establecido para la notificación, se pueda completar la misma de forma gradual.

Por último, en cualquier caso el responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el RGPD a este respecto

Tamara Morales Martín

Abogada especialista en Nuevas Tecnologías y Protección de Datos.

Directora de PRODAT en Castilla y León

Sitio Web: prodat.es/castilla-y-leon.html
Inicia sesión para enviar comentarios

Modificado por última vez en Martes, 14 Febrero 2017 17:11

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal