Navegaci贸n
RGPD > Art铆culo聽33. Notificaci贸n de una violaci贸n de la seguridad de los datos personales a la autoridad de control
Descargar PDF

Art铆culo聽33 RGPD. Notificaci贸n de una violaci贸n de la seguridad de los datos personales a la autoridad de control

Article 33 GDPR. Notification of a personal data breach to the supervisory authority

1. En caso de violaci贸n de la seguridad de los datos personales, el responsable del tratamiento la notificar谩 a la autoridad de control competente de conformidad con el art铆culo聽55 sin dilaci贸n indebida y, de ser posible, a m谩s tardar 72聽horas despu茅s de que haya tenido constancia de ella, a menos que sea improbable que dicha violaci贸n de la seguridad constituya un riesgo para los derechos y las libertades de las personas f铆sicas. Si la notificaci贸n a la autoridad de control no tiene lugar en el plazo de聽72聽horas, deber谩 ir acompa帽ada de indicaci贸n de los motivos de la dilaci贸n.

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article聽55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72聽hours, it shall be accompanied by reasons for the delay.

Textos enlazados

2. El encargado del tratamiento notificar谩 sin dilaci贸n indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

3. La notificaci贸n contemplada en el apartado聽1 deber谩, como m铆nimo:

3. The notification referred to in paragraph 1 shall at least:

a) describir la naturaleza de la violaci贸n de la seguridad de los datos personales, inclusive, cuando sea posible, las categor铆as y el n煤mero aproximado de interesados afectados, y las categor铆as y el n煤mero aproximado de registros de datos personales afectados;

(a)聽describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

b) comunicar el nombre y los datos de contacto del delegado de protecci贸n de datos o de otro punto de contacto en el que pueda obtenerse m谩s informaci贸n;

(b)聽communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;

c) describir las posibles consecuencias de la violaci贸n de la seguridad de los datos personales;

(c)聽describe the likely consequences of the personal data breach;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violaci贸n de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

(d)聽describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

4. Si no fuera posible facilitar la informaci贸n simult谩neamente, y en la medida en que no lo sea, la informaci贸n se facilitar谩 de manera gradual sin dilaci贸n indebida.

4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

5. El responsable del tratamiento documentar谩 cualquier violaci贸n de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentaci贸n permitir谩 a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente art铆culo.

5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


para acceder al texto completo

Considerandos

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(85) 袧邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 械褋谢懈 芯薪芯 薪械 斜褘谢芯 薪邪写谢械卸邪褖懈屑 芯斜褉邪蟹芯屑 懈 胁芯胁褉械屑褟 褍褋褌褉邪薪械薪芯, 屑芯卸械褌 锌芯胁谢械褔褜 褎懈蟹懈褔械褋泻懈泄, 屑邪褌械褉懈邪谢褜薪褘泄 懈谢懈 屑芯褉邪谢褜薪褘泄 胁褉械写 褎懈蟹懈褔械褋泻懈屑 谢懈褑邪屑, 泻邪泻, 薪邪锌褉懈屑械褉, 锌芯褌械褉褟 泻芯薪褌褉芯谢褟 薪邪写 懈褏 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈 懈谢懈 芯谐褉邪薪懈褔械薪懈械 懈褏 锌褉邪胁, 写懈褋泻褉懈屑懈薪邪褑懈褟, 泻褉邪卸邪 谢懈褔薪芯褋褌懈 懈谢懈 械械 屑芯褕械薪薪懈褔械褋泻芯械 懈褋锌芯谢褜蟹芯胁邪薪懈械, 褎懈薪邪薪褋芯胁褘械 锌芯褌械褉懈, 薪械褋邪薪泻褑懈芯薪懈褉芯胁邪薪薪邪褟 锌芯胁褌芯褉薪邪褟 懈写械薪褌懈褎懈泻邪褑懈褟 锌褋械胁写芯薪懈屑懈蟹懈褉芯胁邪薪薪褘褏 写邪薪薪褘褏, 褍褖械褉斜 褉械锌褍褌邪褑懈懈, 薪邪褉褍褕械薪懈械 泻芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 蟹邪褖懈褖械薪薪褘褏 锌褉芯褎械褋褋懈芯薪邪谢褜薪芯泄 褌邪泄薪芯泄, 懈谢懈 谢褞斜芯泄 写褉褍谐芯泄 蟹薪邪褔懈褌械谢褜薪褘泄 褝泻芯薪芯屑懈褔械褋泻懈泄 懈谢懈 褋芯褑懈邪谢褜薪褘泄 胁褉械写, 薪邪薪械褋械薪薪褘泄 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袩芯褝褌芯屑褍, 泻邪泻 褌芯谢褜泻芯 泻芯薪褌褉芯谢褢褉褍 褋褌邪薪芯胁懈褌褋褟 懈蟹胁械褋褌薪芯 芯 薪邪褉褍褕械薪懈懈 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 芯薪 芯斜褟蟹邪薪 褍胁械写芯屑懈褌褜 芯 褌邪泻芯屑 薪邪褉褍褕械薪懈懈 薪邪写蟹芯褉薪褘泄 芯褉谐邪薪 斜械蟹 薪械芯锌褉邪胁写邪薪薪芯泄 蟹邪写械褉卸泻懈 懈, 锌芯 胁芯蟹屑芯卸薪芯褋褌懈, 薪械 锌芯蟹写薪械械 72 褔邪褋芯胁, 蟹邪 懈褋泻谢褞褔械薪懈械屑 褋谢褍褔邪械胁, 泻芯谐写邪 泻芯薪褌褉芯谢褢褉 屑芯卸械褌 锌芯写褌胁械褉写懈褌褜, 胁 褋芯芯褌胁械褌褋褌胁懈懈 褋 锌褉懈薪褑懈锌芯屑 锌芯写芯褌褔械褌薪芯褋褌懈, 褔褌芯 薪邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褋 屑邪谢芯泄 胁械褉芯褟褌薪芯褋褌褜褞 屑芯卸械褌 锌褉械写褋褌邪胁谢褟褌褜 褉懈褋泻 薪邪褉褍褕械薪懈褟 锌褉邪胁 懈 褋胁芯斜芯写 褎懈蟹懈褔械褋泻懈褏 谢懈褑. 袙 褋谢褍褔邪褟褏, 泻芯谐写邪 锌芯写芯斜薪芯械 褍胁械写芯屑谢械薪懈械 薪械 屑芯卸械褌 斜褘褌褜 褋写械谢邪薪芯 胁 褌械褔械薪懈械 72 褔邪褋芯胁, 锌褉懈褔懈薪褘 褌邪泻芯泄 蟹邪写械褉卸泻懈 写芯谢卸薪褘 褋芯锌褉芯胁芯卸写邪褌褜 褍胁械写芯屑谢械薪懈械 懈 懈薪褎芯褉屑邪褑懈褟 屑芯卸械褌 锌褉械写芯褋褌邪胁谢褟褌褜褋褟 锌芯褝褌邪锌薪芯 斜械蟹 写芯锌芯谢薪懈褌械谢褜薪芯泄 蟹邪写械褉卸泻懈.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entra帽ar da帽os y perjuicios f铆sicos, materiales o inmateriales para las personas f铆sicas, como p茅rdida de control sobre sus datos personales o restricci贸n de sus derechos, discriminaci贸n, usurpaci贸n de identidad, p茅rdidas financieras, reversi贸n no autorizada de la seudonimizaci贸n, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio econ贸mico o social significativo para la persona f铆sica en cuesti贸n. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violaci贸n de la seguridad de los datos personales, el responsable debe, sin dilaci贸n indebida y, de ser posible, a m谩s tardar 72 horas despu茅s de que haya tenido constancia de ella, notificar la violaci贸n de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violaci贸n de la seguridad de los datos personales entra帽e un riesgo para los derechos y las libertades de las personas f铆sicas. Si dicha notificaci贸n no es posible en el plazo de 72 horas, debe acompa帽arse de una indicaci贸n de los motivos de la dilaci贸n, pudiendo facilitarse informaci贸n por fases sin m谩s dilaci贸n indebida.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.

(87) Debe verificarse si se ha aplicado toda la protecci贸n tecnol贸gica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violaci贸n de la seguridad de los datos personales y para informar sin dilaci贸n a la autoridad de control y al interesado. Debe verificarse que la notificaci贸n se ha realizado sin dilaci贸n indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violaci贸n de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificaci贸n puede resultar en una intervenci贸n de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Al establecer disposiciones de aplicaci贸n sobre el formato y los procedimientos aplicables a la notificaci贸n de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violaci贸n, inclusive si los datos personales hab铆an sido protegidos mediante las medidas t茅cnicas de protecci贸n adecuadas, limitando eficazmente la probabilidad de usurpaci贸n de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses leg铆timos de las autoridades policiales en caso de que una comunicaci贸n prematura pueda obstaculizar innecesariamente la investigaci贸n de las circunstancias de una violaci贸n de la seguridad de los datos personales.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Ley de Directrices y caso Deja un comentario
[js-disqus]