La Agencia de Protección de Datos ha elaborado un documento que tiene por objetivo guiar a los responsables de los tratamientos de datos personales en el cumplimiento de sus obligaciones de notificación a las Autoridades de Control competentes de las brechas de datos personales y de la comunicación a las personas que se han visto afectadas por ésta.
¿QUÉ ES UNA BRECHA DE DATOS PERSONALES?
El RGPD define, de un modo amplio, las “brechas de datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Por lo tanto, no tendrán consideración de brecha de datos personales sujetas a los artículos 33 y 34 del RGPD aquellos incidentes que:
- No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables.
- No afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado.
- Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.
¿CÓMO GESTIONAR LA BRECHA?
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la AUTORIDAD DE CONTROL COMPETENTE, si además, fuera probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
Con independencia de la necesidad de notificar a la Autoridad de Control sobre una brecha de datos personales, el artículo 33.5 del RGPD establece la obligación del responsable de tratamiento de documentar cualquier brecha, incluidos los hechos relacionados con la brecha, sus efectos y las medidas correctivas adoptadas.
¿EN QUÉ PLAZO SE DEBE COMUNICAR?
El RGPD establece que el responsable de tratamiento notificará las brechas de datos personales a la Autoridad de Control sin dilación indebida y a más tardar dentro de las 72 horas desde que se tenga constancia de la brecha de datos personales.
El plazo de 72 horas empieza a calcularse desde el instante en que el responsable de tratamiento tenga constancia de que el incidente de seguridad ha afectado a datos personales, incluyendo las horas trascurridas durante fines de semana y días festivos.
Si quieres saber más descárgate la guía de la AGPD “Guía para la notificación de brechas de datos personales”.
https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf
Para cualquier consulta relacionada con este tema, no dudes en ponerte en contacto con nosotros.
Confía en expertos, confía en ETL.
Susana Blasco Lebrero
Abogada
Deja tu comentario