TECNOLOGÍA RRHH
Comunicación de brechas de seguridad

Comunicación de brechas de seguridad

Hasta el momento la normativa española no establecía una obligación general de notificar a la AEPD las brechas de seguridad que afectan a datos personales que los responsables del fichero pudieran sufrir, quedando reservada esta obligación únicamente a los prestadores de servicios de comunicaciones electrónicas.

De conformidad con lo dispuesto en el artículo 41.3 de la Ley 9/2014 General de Telecomunicaciones, en la que se dispone que, en caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Comunicación de brechas de seguridad a la Agencia Española de Protección de Datos

El RGPD introduce en su artículo 33 la obligación para cualquier responsable del fichero o encargado de tratamiento de notificar las brechas de seguridad que puedan producirse y que afecten a datos de carácter personal.

Concretamente, el RGPD dispone que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente:

  1. Sin dilación indebida.
  2. En el plazo máximo de 72 horas después de que haya tenido constancia de la brecha, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

No obstante, si la notificación no pudiera realizarse en dicho plazo, deberá ponerse en conocimiento de la Agencia dentro del plazo de 72 horas, debiendo justificar el motivo por el que no puede notificarse.

La notificación de las brechas de seguridad deberá contener, al menos, la siguiente información:

  1. Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Comunicación de brechas de seguridad a los titulares de los datos

Del mismo modo, el artículo 34 del RGPD introduce en el ordenamiento jurídico la obligación de los responsables de fichero, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, de comunicar al interesado sin dilación indebida que se ha producido dicha brecha de seguridad, debiendo describir en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y como mínimo con la información y las medidas adoptadas para mitigar el impacto y evitar que se pueda volver a producir.

El RGPD establece una serie de excepciones a la obligación anteriormente descrita, no siendo necesaria si se cumple alguna de las condiciones siguientes:

  1. El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
  2. El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado anterior.
  3. Que suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Prohibición de la obtención del consentimiento de forma tácita

Una de las bases fundamentales para tratar datos personales es el consentimiento. El RGPD pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Artículo Anterior De la Web Sintáctica a la Web Semántica
Artículo Siguiente Los operadores de turismo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 30 Noviembre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

10 habilidades clave de un gestor de proyectos
Un especialista gestor de proyectos, en general es el responsable del éxito de la ejecución de un proyecto, ya que se encarga del control de la calida...
Responsabilidades de un analista de negocios
Las responsabilidades de un analista de negocios pueden variar de un proyecto a otro en función de muchos parámetros, como la metodología de desarroll...
Características de la gestión de ventas
En este sentido, el término gestión de las ventas es muy polifacético y, en la actualidad, no existe un enfoque único y universal al respecto. Hay exp...
Negociación: una forma de resolver los conflictos
Una negociación es una forma de resolver conflictos que consiste en que cada parte plantea sus propias exigencias, pero tiende a realizar concesiones,...

MARKETING

¿Qué relevancia tiene el estudio del discurso político?
La comunicación política ha despertado repetidamente la atención de los investigadores de diferentes campos del conocimiento científico. El vínculo en...
Marketing y gestión: qué son y sus diferencias
El marketing y la gestión son conceptos que mucha gente ha escuchado alguna vez en su vida. Estos se emplean en actividades comerciales y empresariale...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS