Compártelo
¿Qué es la comunicación de brechas de seguridad?
RRHH TECNOLOGÍA

¿Qué es la comunicación de brechas de seguridad?

Hasta el momento la normativa española no establecía una obligación general de notificar a la AEPD las brechas de seguridad que afectaran a datos personales que los responsables del fichero pudieran sufrir, quedando reservada esta obligación únicamente a los prestadores de servicios de comunicaciones electrónicas, de conformidad con lo dispuesto en el artículo 41.3 de la Ley 9/2014 General de Telecomunicaciones

, en la que se dispone que en caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos.

Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Comunicación de brechas de seguridad a la Agencia Española de Protección de Datos

El RGPD introduce en su artículo 33 la obligación para cualquier responsable del fichero o encargado de tratamiento de notificar las brechas de seguridad que puedan producirse y que afecten a datos de carácter personal.

Concretamente, el RGPD dispone que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente:

  1. Sin dilación indebida.
  2. En el plazo máximo de 72 horas después de que haya tenido constancia de la brecha, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

No obstante, si la notificación no pudiera realizarse en dicho plazo, deberá ponerse en conocimiento de la Agencia dentro del plazo de 72 horas, debiendo justificar el motivo por el que no puede notificarse.

La notificación de las brechas de seguridad deberá contener, al menos, la siguiente información:

  1. Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Comunicación de brechas de seguridad a los titulares de los datos

Del mismo modo, el artículo 34 del RGPD introduce en el ordenamiento jurídico la obligación de los responsables de fichero, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, de comunicar al interesado sin dilación indebida que se ha producido dicha brecha de seguridad, debiendo describir en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y como mínimo con la información y las medidas adoptadas para mitigar el impacto y evitar que se pueda volver a producir.

El RGPD establece una serie de excepciones a la obligación anteriormente descrita, no siendo necesaria si se cumple alguna de las condiciones siguientes:

  1. El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
  2. El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado anterior.
  3. Que suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Prohibición de la obtención del consentimiento de forma tácita

Una de las bases fundamentales para tratar datos personales es el consentimiento. El RGPD pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

SI ESTÁS INTERESADO EN DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE RECURSOS HUMANOS, ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS Y CURSOS EN RECURSOS HUMANOS.

Master en Programación Neurolingüística e Inteligencia Emocional

RRHH TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
12 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Sábado, 25 Mayo 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial

Noticias más populares

Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...

EMPRESAS

Se entiende por competencia desleal al conjunto de tácticas comerciales que, de manera ilícita o poco ética, tienen como objetivo obtener una posición...
La participación ciudadana es un componente esencial en el funcionamiento de las democracias modernas. A través de ella, los ciudadanos tienen la opor...
Es dentro de la fase de supervisión donde nos aseguramos que el proyecto avance conforme a lo planificado. ¿Qué es la supervisión de un proyecto? La s...
Decimos que un negocio es escalable cuando este puede crecer y aumentar sus ingresos sin que los costos asociados crezcan en la misma proporción. Esto...

MARKETING

Cuando pensamos en un producto, a menudo visualizamos su empaque antes que el propio artículo. ¿Por qué? Porque el diseño del empaque es mucho más que...
Como su propio nombre lo indica, el geotargeting utiliza datos de localización para segmentar audiencias en función de su posición geográfica. Definic...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial