RRHH TECNOLOGÍA
Compártelo
¿Qué es la comunicación de brechas de seguridad?

¿Qué es la comunicación de brechas de seguridad?

Hasta el momento la normativa española no establecía una obligación general de notificar a la AEPD las brechas de seguridad que afectaran a datos personales que los responsables del fichero pudieran sufrir, quedando reservada esta obligación únicamente a los prestadores de servicios de comunicaciones electrónicas, de conformidad con lo dispuesto en el artículo 41.3 de la Ley 9/2014 General de Telecomunicaciones

, en la que se dispone que en caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos.

Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Comunicación de brechas de seguridad a la Agencia Española de Protección de Datos

El RGPD introduce en su artículo 33 la obligación para cualquier responsable del fichero o encargado de tratamiento de notificar las brechas de seguridad que puedan producirse y que afecten a datos de carácter personal.

Concretamente, el RGPD dispone que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente:

  1. Sin dilación indebida.
  2. En el plazo máximo de 72 horas después de que haya tenido constancia de la brecha, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

No obstante, si la notificación no pudiera realizarse en dicho plazo, deberá ponerse en conocimiento de la Agencia dentro del plazo de 72 horas, debiendo justificar el motivo por el que no puede notificarse.

La notificación de las brechas de seguridad deberá contener, al menos, la siguiente información:

  1. Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Comunicación de brechas de seguridad a los titulares de los datos

Del mismo modo, el artículo 34 del RGPD introduce en el ordenamiento jurídico la obligación de los responsables de fichero, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, de comunicar al interesado sin dilación indebida que se ha producido dicha brecha de seguridad, debiendo describir en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y como mínimo con la información y las medidas adoptadas para mitigar el impacto y evitar que se pueda volver a producir.

El RGPD establece una serie de excepciones a la obligación anteriormente descrita, no siendo necesaria si se cumple alguna de las condiciones siguientes:

  1. El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
  2. El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado anterior.
  3. Que suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Prohibición de la obtención del consentimiento de forma tácita

Una de las bases fundamentales para tratar datos personales es el consentimiento. El RGPD pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

SI ESTÁS INTERESADO EN DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE RECURSOS HUMANOS, ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS Y CURSOS EN RECURSOS HUMANOS.

Artículo Anterior La mejora continua del SGSI
Artículo Siguiente ¿Qué es la escala del mapa?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Miércoles, 27 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...
¿Qué es la capacidad del mercado?
Se trata de un indicador que aproxima la capacidad de un mercado para consumir un tipo de producto. Definición de la capacidad del mercado En general,...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass RRHH

RRHH

Informe o memoria sobre RSE

RRHH

RSE - Qué vamos a estudiar

RRHH

RSE - La ética en el ámbito empresarial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS