Una empresa polaca recibió una multa por no informar oportunamente sobre violaciones de datos personales. La compañía ha declarado que esto se debió a un error humano. En este caso, la compañía tuvo que reportar la violación dentro de las 24 horas posteriores al descubrimiento del incidente. Pero la compañía presentó la notificación a la autoridad de protección de datos más tarde.
Usted puede preguntarse por qué la fecha límite es tan corta. Es para que la autoridad de protección de datos pueda actuar rápidamente. Por ejemplo, en los casos en que la violación de datos personales puede dar lugar a robo de identidad, fraude o similar.
Una empresa tuvo que pagar una multa por no informar oportunamente a la autoridad nacional de protección de datos sobre violaciones de datos personales
En este caso, la empresa infringió las disposiciones de la Ley de Telecomunicaciones y del Reglamento n.o 611/2013 de la Comisión. De acuerdo con esta regulación, algunas violaciones de datos personales deben ser reportadas dentro de las 24 horas. También hubo más de una violación de datos personales que no se informó a tiempo. Hubo un total de cinco incidentes. La autoridad polaca de protección de datos lo había tenido en cuenta en su decisión en el asunto.
La empresa también había informado a la autoridad polaca de protección de datos de manera incorrecta. Habían enviado las notificaciones a través de un operador postal. Este proceso requirió una mayor participación de sus empleados. Lo hicieron, a pesar de que la autoridad polaca de protección de datos había recomendado a la empresa que presentara las notificaciones por vía electrónica. La autoridad de protección de datos señaló la forma más rápida de presentar una notificación. Dijeron que era a través del sitio web de la autoridad o de la plataforma ePUAP.
La compañía tuvo que pagar una multa por, entre otras cosas, no notificar violaciones de datos personales a tiempo
La consecuencia para la empresa que no notificó la violación de datos personales a tiempo a la autoridad polaca de protección de datos fue una multa. La multa era de 100.000 złoty polacos.
Normas del RGPD para notificar violaciones de la seguridad de los datos personales a la autoridad nacional de protección de datos
El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) también tiene normas estrictas en relación con las notificaciones de violaciones de datos personales. Según el RGPD, las empresas deben informar ciertos tipos de violaciones de datos personales a la autoridad de protección de datos relevante. Una empresa debe realizar el informe dentro de las 72 horas posteriores al descubrimiento de conformidad con el artículo 33 del RGPD.
Sin embargo, en algunos casos excepcionales, una empresa puede reportarlo después de 72 horas. En tales casos, la empresa debe poder justificar la decisión. Por ejemplo, si hay muchas violaciones de datos personales al mismo tiempo que tienen diferentes causas. Tenga en cuenta que la empresa puede complementar su informe después.
La cantidad máxima que una empresa puede recibir en una multa de acuerdo con el RGPD es de 20 millones de euros o el 4% del volumen de negocios anual total. Se aplica la más alta de las opciones. En otras palabras, una multa puede tener consecuencias financieras devastadoras para una empresa.
Cuota de penalización porque, entre otras cosas, la empresa no había establecido un período de retención
Una empresa finlandesa recibió una multa de la autoridad de protección de datos porque no había fijado un período de conservación para los datos personales tratados. La empresa almacenó los datos personales durante el tiempo que el cliente mantuvo su cuenta de usuario. Así, la empresa había puesto la responsabilidad en el cliente de tener que eliminar su cuenta de usuario, con el fin de que los datos personales sean eliminados. Es importante saber que las empresas deben eliminar datos personales regularmente.
Además, los clientes tenían que crear una cuenta de usuario para comprar en el sitio web. La autoridad finlandesa de protección de datos consideró que esto también infringía el RGPD.
