El CEPD ha publicado recientemente un documento con orientaciones sobre notificaciones de brechas de datos personales orientado a organizaciones de la UE.
El CEPD ha publicado recientemente un documento que proporciona orientaciones sobre cómo gestionar las brechas de datos personales conforme al RGPD. Esta guía pretende ayudar a los responsables y encargados de datos y a las autoridades de control a seguir un enfoque consistente al tratar brechas de datos personales. El RGPD define una brecha personal como un incidente de seguridad que conlleva la destrucción, pérdida, alteración, cesión o acceso de datos personales de forma accidental o ilegítima. Esta guía ofrece información detallada sobre los requisitos legales que se aplican a las notificaciones de brechas de datos personales, el ámbito de la guía y las definiciones clave en este campo.
La guía del CEPD destaca los elementos esenciales de una notificación de brecha de datos personales.
Las organizaciones deben notificar a la autoridad de control una brecha de datos personales que pueda afectar a los derechos y libertades de los interesados en 72 horas después de haberla descubierto, y podrían enfrentarse a una sanción en caso de no hacerlo. A estos efectos, es esencial conocer los requisitos legales de una notificación de brecha de datos personales, pues será lo que ayude a las organizaciones a cumplir con sus obligaciones. Esta guía subraya los elementos básicos de una notificación de brecha de datos personales, en lo que se incluyen especificaciones sobre el tipo de brecha, la categoría de datos personales, el número de interesados afectados y los datos de contacto del Delegado de Protección de Datos. Las organizaciones también deberán describir las posibles consecuencias y las medidas propuestas para abordar la brecha. La notificación debe ser clara y concise y tendrá que ajustarse a la situación específica, tomando en consideración la naturaleza de los datos, las finalidades del tratamiento y los tipos de sujetos afectados.
El CEPD recomienda que las organizaciones evalúen los riesgos asociados con la brecha de datos personales tan pronto como la descubran.
Se aconseja a las organizaciones evaluar los riesgos asociados con la brecha inmediatamente después de descubrirla. Esta evaluación determinará si la brecha debe notificarse, el nivel de detalle que tendrá que incluir el informe y los pasos necesarios para mitigar sus posibles efectos. La guía incluye una serie de cuestiones que las organizaciones deberán usar para identificar la gravedad de la brecha, según la cual ésta se clasificará como de prioridad alta, media o baja. Esta clasificación condicionará las comunicaciones o acciones necesarias.
Las organizaciones deberían familiarizarse con esta guía para asegurarse de que están preparadas en caso de sufrir una brecha de datos personales.
En conclusión, es esencial que se sigan las normas sobre notificación de brecha de datos personales y no cumplir con ellas puede derivar en importantes sanciones y daño reputacional. La guía del CEPD proporciona un enfoque detallado sobre cómo las organizaciones deben gestionar las brechas de datos personales, y explica cómo clasificar la gravedad de la brecha y los requisitos obligatorios a cumplir. Las organizaciones deben familiarizarse con esta guía para asegurarse de que están preparadas en caso de experimentar una brecha de datos personales.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, Implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado De Protección de Datos. Infórmate aquí.
