El CEPD ha publicado recientemente una guía dirigida a empresas y organizaciones sobre la notificación de brechas de datos personales conforme al RGPD.
El Comité Europeo de Protección de Datos (CEPD) ha publicado recientemente una guía sobre notificaciones de brechas de datos personales bajo el RGPD. Este documento incluye una serie de requisitos detallados que deben seguir empresas y organizaciones que tratan datos personales de interesados en caso de brecha de datos personales. El RGPD introdujo la obligación de notificar las brechas de datos personales a la autoridad de control pertinente, ya sea la autoridad de control nacional o la autoridad de control principal en caso de brecha de datos personales transfronteriza. En muchos casos también se deberá notificar a los sujetos afectados. La guía del CEDP incluye ejemplos de brechas de datos personales con indicaciones sobre quién debe ser informado.
El CEPD impulsa a los responsables y encargados de tratamiento a que lleven a cabo una planificación e implementación de procesos que les permitan identificar y mitigar de manera inmediata una brecha de datos personales.
El CEPD destaca que una detección temprana de una brecha de datos personales es esencial para minimizar el riesgo para los afectados, puesto que permitirá determinar rápidamente si es necesario notificar a la autoridad de control competente y actuar en consecuencia tan pronto como sea necesario. Conforme al RGPD, el responsable del tratamiento deberá notificar una brecha de datos personales a la autoridad competente salvo que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas. El Artículo 33(1) del RGPD indica que “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.” El CEPD señala que los procedimientos de notificación a las autoridades de control deberían formar parte del plan de respuesta a incidentes de las empresas y organizaciones. El RGPD indica cuándo y a quién debe notificarse una brecha de datos personales, junto a la información que debería ser proporcionada en la misma.
Las empresas y las organizaciones deben elaborar informes sobre las brechas de datos personales, pues no hacerlo puede resultar en acciones correctivas, incluidas sanciones.
La ausencia de notificación a la autoridad de control o a los sujetos afectados puede resultar en la imposición de medidas correctivas, lo cual puede incluir en una multa de hasta 10.000.000 € or el 2% del volumen de negocio total anual global del año anterior. La notificación debe así realizarse tan pronto como sea posible dentro del marco de tiempo estipulado en el RGPD. Cuando haya tenido lugar una brecha de datos personales cuyo alcance aún es desconocido, es posible realizar una notificación por fases. En función de la naturaleza de la brecha, el responsable puede necesitar una investigación más detallada para poder establecer los hechos relevantes del incidente. El artículo 33 (4) del RGPD establece que “Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.” El CEPD también desarrolla aquellos casos en los que no se requiere ninguna notificación, que incluyen brechas con datos encriptados y otras situaciones en las que es improbable que la brecha genere riesgos para los derechos y libertades de los sujetos.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, Implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado De Protección de Datos. Infórmate aquí.