INCUMPLIMIENTO DE DATOS
Violaciones transfronterizas de datos personales
En algunos casos, las violaciones de datos personales pueden estar vinculadas a varios Estados miembros de la UE. En otras palabras, una violación transfronteriza de datos personales. Por ejemplo, si una empresa tiene clientes en varios Estados miembros y todos los datos de los clientes se recopilan dentro de un sistema en su sede central, y se produce una violación de datos personales que da lugar a un acceso no autorizado a los datos personales.
Autoridad de control responsable en caso de violación transfronteriza de datos personales
Es importante que las empresas que llevan a cabo el tratamiento transfronterizo de datos personales sepan cuál es su autoridad de control principal. Por lo general, es el del país en el que la empresa tiene su lugar principal de negocios. Por ejemplo, si una empresa que vende productos dentro de la región nórdica y tiene su oficina central en Dinamarca, entonces Dinamarca es el principal lugar de negocios. Sin embargo, en algunos casos, puede ser la autoridad de control de otro país la responsable de todos modos, si la empresa toma decisiones sobre el RGPD sobre el propósito, etc., en otro país de la UE.
Informar sobre violaciones de datos
Una razón importante por la que las empresas necesitan saber qué autoridad de supervisión es responsable, es poder reportar violaciones de datos personales a tiempo. Según el RGPD, esto debe hacerse dentro de las 72 horas posteriores al descubrimiento. Si la empresa no sabe con qué autoridad contactar por adelantado, puede tomarles un tiempo valioso.
En caso de violación transfronteriza de la seguridad de los datos personales: Los interesados pueden realizar notificaciones a cualquier autoridad de control
Si un interesado desea presentar una queja con respecto a una violación del RGPD, puede presentarla a cualquier autoridad de control en el área de la UE / EEE. La autoridad de control podrá entonces concluir que la autoridad de control de otro país es más adecuada para hacerse cargo del caso y, en tales casos, transferirlo. Por lo tanto, no es tan importante que los interesados sepan en qué país tiene su establecimiento principal la empresa o cuál es la autoridad de control principal.
Supervisión de las reclamaciones presentadas por interesados de varios países: Marketing directo en violación del RGPD
La Autoridad Sueca para la Protección de la Privacidad llevó a cabo una supervisión contra una empresa después de que las personas presentaran quejas ante las autoridades de supervisión en Italia, Polonia y el Reino Unido. Dado que la empresa tiene su sede central en Suecia, la autoridad sueca de protección de datos es responsable y, por lo tanto, los casos relativos a las reclamaciones se transfirieron allí. La empresa tuvo que pagar una multa de 350 000 SEK por no cesar la comercialización directa, entre otras cosas, cuando recibieron objeciones de los interesados.
MÁS INFORMACIÓN SOBRE RGPD
Realización de una evaluación de riesgos cuando se producen datos personales
Cuando se produce una violación de datos personales, la empresa debe llevar a cabo una evaluación de riesgos. Posteriormente, la empresa puede determinar mejor si necesita informar a los interesados o a la autoridad responsable de la protección de datos sobre la violación de datos personales. La evaluación de riesgos debe incluir, entre otras cosas, información sobre la naturaleza de la violación de datos personales, la importancia de los datos personales, el impacto que puede tener en los interesados y si los interesados son un grupo adicional digno de protección (como los niños, las personas mayores o las personas con discapacidad).