Plazos para notificar una brecha de datos personales
A menudo, desde Forlopd vemos como empresas de diferentes sectores ven comprometida su seguridad y en consecuencia sufren una fuga de información. Según el Reglamento General de Protección de Datos, tan pronto como el responsable del tratamiento tenga conocimiento de la brecha de datos personales, se debe notificar a la Agencia Española de Protección de Datos (AEPD).
Los factores pare evaluar el riesgo de una brecha tienen en consideración los siguientes elementos:
- Tipo de brecha de datos personales.
- Naturaleza, carácter sensible y volumen de datos personales.
- Facilidad de identificación de las personas.
- Gravedad de las consecuencias para los derechos y libertades de las personas.
- Características particulares del responsable de tratamiento.
- Número de personas afectadas.
Plazos para notificar una brecha de datos
El Reglamento General de Protección de Datos, establece que el responsable del tratamiento deberá notificar las brechas de datos sin dilación a más tardar dentro de las 72 horas desde que se tenga constancia de la brecha de datos personales.
Cuando en el momento de la notificación se disponga de toda la información relevante para la gestión y resolución de la brecha de datos personales, incluida la decisión sobre la comunicación de la brecha a los afectados, se realizará una notificación de tipo “completa”, dado que no está previsto que el responsable de tratamiento tenga que aportar información adicional.
Autoridad de control a la que se debe notificar
Los responsables del tratamiento afectado por la brecha deberán notificar a la Agencia Española de Protección de Datos cuando:
- Cuando su único establecimiento esté localizado en España.
- Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.
- Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.
- Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.
¿Qué se debe notificar?
Se debe describir la naturaleza de la violación de la seguridad de los datos personales, así como comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del que pueda obtenerse información. También se deberá describir las posibles consecuencias de la violación de seguridad y las medidas de seguridad adoptadas por el responsable del tratamiento para poner remedio y mitigar la violación de seguridad.
Una vez notificada una brecha de datos personales a la Autoridad de Control, el responsable de tratamiento ha de estar preparado para recibir y atender los posibles requerimientos, órdenes o comunicaciones que la AEPD pueda realizarle electrónicamente en relación con la brecha de datos personales notificada. Para ello deberá prever los medios técnicos necesarios para poder acceder de forma rápida y ágil a estas comunicaciones.
Con tal de informarte sobre medidas de seguridad en la empresa, puedes consultar nuestra categoría en el blog de ciberseguridad
Nuestro equipo de expertos te puede asesorar en la implementación del RGPD y la LOPDGDD, asegurando la seguridad de la información y evitando sanciones. Además podemos asesorarte en caso de sufrir una brecha de datos con tal de tomar las medidas adecuadas de protección y notificación a la autoridad competente. Puedes solicitarnos más información a través de nuestra sección de contacto.
Entradas relacionadas:
¿En qué consiste el deber de confidencialidad?
¿Cómo puedo cumplir con el RGPD al destruir documentos?
¿Qué es la Agencia Española de Protección de Datos (AEPD)?
Cómo proteger los datos personales de tus clientes: medidas y buenas prácticas
¿Qué es y cuál es el propósito de la protección de datos?
¿Sabes cómo cumplir con la Protección de Datos en las Relaciones Laborales?
