INFORMACIÓN SOBRE RGPD

Informar a los interesados de las violaciones de la seguridad de los datos personales

En algunos casos, las empresas deben informar a los interesados de una violación de datos personales que se haya producido y que les concierna, de conformidad con el RGPD. Además, en algunos casos, las empresas deben notificar la violación de datos personales a la autoridad nacional o responsable de protección de datos. Por lo tanto, es importante analizar siempre lo que sucedió y educar al personal sobre lo que puede constituir una violación de datos personales bajo RGPD.

Las empresas deben informar a los interesados en caso de violación de datos personales en determinados casos

Según el RGPD, las empresas deben en algunos casos informar a los interesados de una violación de datos personales que haya ocurrido. Esto se hará si existe una alta probabilidad de que la violación de datos personales ponga en riesgo los derechos y libertades de los interesados. Por ejemplo, si hay una violación de datos y miles de datos de la tarjeta de crédito se filtran. Al informar a los interesados del incidente, pueden tener la oportunidad de protegerse tomando medidas. Por ejemplo, bloqueando su tarjeta de crédito cuyos datos se han filtrado.

Información que debe facilitarse a los interesados:

Motivo: El motivo de la violación de datos personales;
Datos de contacto: Los datos de contacto de alguien de la empresa con quien los interesados pueden ponerse en contacto. Si la empresa tiene un delegado de protección de datos, deben indicarse sus datos de contacto.
Consecuencias: Descripción de las consecuencias que pueden surgir como consecuencia de la violación de datos personales.
Medidas: Qué medidas ha tomado la empresa para minimizar los riesgos y gestionar la violación de datos personales.

Cuando las empresas no necesitan informar a los interesados

What is the definition of anonymised data?

Medidas adoptadas

Siempre es bueno que las empresas tomen medidas lo más rápido posible para minimizar las consecuencias de la violación de datos personales. Por ejemplo, si la empresa hace que los datos personales sean ininteligibles, como a través del cifrado, no es necesario que informen a los interesados. Lo mismo se aplica si la empresa minimiza las consecuencias de una violación de datos personales que da lugar a que ya no exista un alto riesgo para los derechos y libertades de los interesados.

Denunciar una violación de datos personales a una autoridad de protección de datos

Algunas violaciones de datos personales son notificables. Las empresas notificarán dicha violación de la seguridad de los datos personales a la autoridad nacional de protección de datos en un plazo de setenta y dos horas a partir de su detección. Si la notificación no se realiza a tiempo, constituye una violación del RGPD que puede tener consecuencias importantes. Por ejemplo, una empresa recibió una multa de 100 000 złoty polacos de la autoridad polaca de protección de datos por, entre otras cosas, notificación tardía.

Al enviar una notificación de violación de datos personales, tenga en cuenta lo siguiente:

Nivel de gravedad

Es importante evaluar la gravedad de la violación de la seguridad de los datos personales y la gravedad de sus consecuencias. Tenga en cuenta que la empresa debe evaluar el impacto en los interesados afectados, no el impacto en la empresa.

Notificación preliminar

Cuando se produce una violación de datos personales que se debe informar, es posible que la empresa aún no tenga toda la información sobre la violación. En tales casos, la empresa puede presentar una notificación preliminar y posteriormente completarla.

Si la empresa que realiza la notificación a la autoridad responsable de la protección de datos indica que la gravedad de las consecuencias que puede conllevar la violación de datos personales es significativa o muy significativa, la empresa debe, por regla general, informar a los interesados afectados.

Si se produce una violación de datos personales en una empresa que es el procesador de datos

Las empresas que son procesadores, procesan datos personales en nombre y bajo las instrucciones de un controlador. Las instrucciones y otra información sobre el procesamiento se establecen en un acuerdo de procesamiento de datos. Debe concluirse por escrito entre las partes de conformidad con los requisitos del artículo 28 del RGPD.

En caso de violación de la seguridad de los datos personales en el encargado del tratamiento, en relación con los datos personales cubiertos por el acuerdo de tratamiento de datos, se informará de ello al responsable del tratamiento sin demora indebida.

Además, es beneficioso si se indica en el acuerdo de procesamiento de datos cómo debe actuar el procesador de datos en caso de una violación de datos personales. Es posible incluir una competencia en el acuerdo para que el encargado del tratamiento pueda notificar directamente una violación de la seguridad de los datos personales a la autoridad nacional de protección de datos. Lo mismo se aplica a la información sobre la situación a los interesados pertinentes.

MÁS INFORMACIÓN SOBRE LOS INCUMPLIMIENTOS DE DATOS

Violaciones transfronterizas de datos personales

Cuando una empresa procesa datos personales relacionados con varios países dentro de la UE, se trata de un procesamiento transfronterizo de datos personales. Si hay una violación de datos personales relacionada con varios países de la Unión, se trata de una violación transfronteriza de datos personales. Las empresas que llevan a cabo operaciones de tratamiento transfronterizo deben averiguar qué autoridad de protección de datos es responsable. Si se debe notificar una violación de datos personales, es allí donde la empresa debe notificarlos. No obstante, los interesados pueden presentar una reclamación ante su autoridad nacional de protección de datos o ante otra persona en el ámbito de la UE o del EEE. Si la autoridad de protección de datos considera que otra autoridad es responsable de la empresa porque, por ejemplo, tienen su sede allí, transfieren el caso a la autoridad nacional de protección de datos de ese país.