¿Sabes cómo notificar una violación de datos bajo los requisitos RGPD?

Uno de los elementos clave del Reglamento General de Protección de Datos (RGPD) es contar con las pautas de documentación adecuadas para notificar una violación de datos personales en el caso de ser producida. Además, es fundamental para demostrar el cumplimiento de la nueva normativa europea.

Pero… ¿qué es una violación de datos?

Una violación de seguridad de los datos personales incluye cualquier brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental y/o ilícita de información personal, así como la comunicación o acceso no autorizados a los mismos.

Si los datos permiten la identificación directa o indirecta de las personas físicas, esa actividad de tratamiento estará sujeta al RGPD. Por tanto, si se sufre una violación de seguridad sobre esa información tendrá que notificarse a la autoridad de control correspondiente, en el caso de España, la Agencia Española de Protección de Datos (AEPD).

Si la violación de seguridad constituye un riesgo para los derechos y las libertades de las personas físicas, el responsable del tratamiento tendrá que comunicárselo a los interesados.

¿Quién y cuándo debe informar?

Como hemos señalado anteriormente y, según señala la AEPD en su ‘Guía para el Cumplimiento del Deber de Informar’, “la obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el responsable del tratamiento”.

Asimismo, “la información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que se obtienen directamente del interesado”.

En el caso de que los datos no se obtengan del propio interesado (por proceder de alguna cesión legítima, o de fuentes de acceso público), el responsable informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • antes de un mes desde que se obtuvieron los datos personales
  • antes o en la primera comunicación con el interesado
  • antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

La Agencia recuerda en esta guía que “esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha”.

Si te ha interesado este artículo, te recomendamos asistir a nuestro próximo curso online sobre el RGPD y completar así tu formación sobre la nueva legislación de protección de datos. Si apruebas el examen final tipo test, obtendrás tu título internacional certificado por la norma ISO 17024.

Echa un vistazo al curso online especializado RGPD >

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.