Orientaciones sobre protección de datos – Pregunta 11
¿Qué se debe hacer en caso de violación de la seguridad de los datos personales?
Aplicable a la hipótesis n.º 2, salvo en lo que se refiere a la utilización del servicio de intercambio de archivos de la Comisión.
Por «violación de la seguridad de los datos personales» se entiende toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita o la divulgación no autorizada de datos personales transmitidos, conservados o tratados, o el acceso no autorizado a dichos datos.
Notificación de una violación de la seguridad de los datos
En caso de violación de la seguridad de los datos personales, el representante del grupo de organizadores, sin dilación indebida y, en principio, a más tardar 72 horas después de que haya tenido constancia de ella, debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Dicha notificación debe contener, como mínimo:
- una descripción de la violación de la seguridad de los datos, incluidos el número de firmantes y las categorías de datos afectados;
- el nombre y datos de contacto del delegado de protección de datos (o de otro punto de contacto pertinente);
- las posibles consecuencias de la violación de la seguridad de los datos, teniendo en cuenta su contenido, y
- las medidas adoptadas por el responsable del tratamiento para subsanar o mitigar la violación de la seguridad de los datos.
Si no fuera posible facilitar toda la información simultáneamente, se podrá facilitar de manera gradual sin demora.
El representante también debe documentar los hechos, sus efectos y las medidas correctoras ya adoptadas (o que deban tomarse urgentemente, facilitando la planificación de las mismas).
Riesgos para los derechos y las libertades
Por otra parte, cuando la violación de la seguridad pueda entrañar un alto riesgo para los derechos y libertades de los firmantes, éstos deberán ser informados en consecuencia, excepto cuando:
- las medidas aplicadas (como el cifrado, siempre que la clave no se vea comprometida) hayan impedido que los datos sean inteligibles o garanticen que los riesgos ya no se materialicen, o
- la comunicación individual a los firmantes suponga un esfuerzo desproporcionado. En tal caso, podría hacerse, en su lugar, una comunicación pública de la violación de la seguridad para informar a los firmantes.
NOTA:
En caso de tratamiento de datos bajo responsabilidad compartida con la Comisión, y a menos que la violación de la seguridad de los datos sea imputable a la conducta de los miembros del grupo de organizadores, la Comisión cumplirá las obligaciones mencionadas. El grupo de organizadores debe asistir a la Comisión, en caso necesario y en la medida de lo posible, en la gestión de las violaciones de la seguridad de los datos personales.
Referencias:
- Artículos 33 y 34 del RGPD.
- Preguntas frecuentes de la Comisión sobre protección de datos: «¿Qué es una violación de la seguridad de los datos y qué deberíamos hacer en caso de sufrir una?»
