Читать книгу Derecho digital - José F. Estévez - Страница 18

El RGPD, también con carácter novedoso, incorpora la obligación de notificar a la autoridad de control competente la violación de la seguridad de los datos de carácter personal en el plazo máximo de 72 horas desde que se tiene conocimiento del mismo. Adicionalmente, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado o interesados sin dilación indebida. (Artículos 33 y 34 del RGPD)

El responsable del tratamiento debe documentar todas las violaciones de seguridad de los datos personales (hechos, efectos y medidas correctivas adoptadas) con el fin de que la autoridad de control pueda verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD relativo de las brechas de seguridad.

El contenido mínimo de la notificación se recoge en el artículo 33.3 del RGPD y es el siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;

d) Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si el responsable del tratamiento no pudiera facilitar la información simultáneamente, la información podrá facilitarse gradualmente sin dilación indebida.