Compártelo
Comunicación de brechas de seguridad
RRHH TECNOLOGÍA

Comunicación de brechas de seguridad

Hasta el momento la normativa española no establecía una obligación general de notificar a la AEPD las brechas de seguridad que afectan a datos personales que los responsables del fichero pudieran sufrir, quedando reservada esta obligación únicamente a los prestadores de servicios de comunicaciones electrónicas.

De conformidad con lo dispuesto en el artículo 41.3 de la Ley 9/2014 General de Telecomunicaciones, en la que se dispone que, en caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Comunicación de brechas de seguridad a la Agencia Española de Protección de Datos

El RGPD introduce en su artículo 33 la obligación para cualquier responsable del fichero o encargado de tratamiento de notificar las brechas de seguridad que puedan producirse y que afecten a datos de carácter personal.

Concretamente, el RGPD dispone que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente:

  1. Sin dilación indebida.
  2. En el plazo máximo de 72 horas después de que haya tenido constancia de la brecha, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

No obstante, si la notificación no pudiera realizarse en dicho plazo, deberá ponerse en conocimiento de la Agencia dentro del plazo de 72 horas, debiendo justificar el motivo por el que no puede notificarse.

La notificación de las brechas de seguridad deberá contener, al menos, la siguiente información:

  1. Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Comunicación de brechas de seguridad a los titulares de los datos

Del mismo modo, el artículo 34 del RGPD introduce en el ordenamiento jurídico la obligación de los responsables de fichero, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, de comunicar al interesado sin dilación indebida que se ha producido dicha brecha de seguridad, debiendo describir en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y como mínimo con la información y las medidas adoptadas para mitigar el impacto y evitar que se pueda volver a producir.

El RGPD establece una serie de excepciones a la obligación anteriormente descrita, no siendo necesaria si se cumple alguna de las condiciones siguientes:

  1. El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
  2. El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado anterior.
  3. Que suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Prohibición de la obtención del consentimiento de forma tácita

Una de las bases fundamentales para tratar datos personales es el consentimiento. El RGPD pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Maestría en
Dirección y Gestión de Recursos Humanos

RRHH TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
16 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago cuotas sin intereses
CEUPE se consolida en Perú comenzando a colaborar ...
La Universidad de Alcalá aprueba 15 Títulos Propio...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 10 Octubre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Desarrollo y evaluación de competencias digitales en candidatos

RRHH

Integración de herramientas digitales en la evaluación de competencias

RRHH

Uso de tecnologías emergentes en la selección de personal

Noticias más populares

CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...

EMPRESAS

Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...
El cumplimiento normativo es básicamente un conjunto de reglas que cualquier negocio debe seguir, y no, no es solo para las grandes multinacionales. C...

MARKETING

En el competitivo mundo empresarial, comprender los límites del mercado es esencial para poder diseñar estrategias efectivas y maximizar las oportunid...
Ser un líder político en el siglo XXI es mucho más complicado de lo que era hace unas décadas. Ya no es tener carisma o prometer cambios, ahora los de...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Desarrollo y evaluación de competencias digitales en candidatos

RRHH

Integración de herramientas digitales en la evaluación de competencias

RRHH

Uso de tecnologías emergentes en la selección de personal