Navegaci贸n
RGPD > Art铆culo聽33. Notificaci贸n de una violaci贸n de la seguridad de los datos personales a la autoridad de control
Descargar PDF

Art铆culo聽33 RGPD. Notificaci贸n de una violaci贸n de la seguridad de los datos personales a la autoridad de control

1. En caso de violaci贸n de la seguridad de los datos personales, el responsable del tratamiento la notificar谩 a la autoridad de control competente de conformidad con el art铆culo聽55 sin dilaci贸n indebida y, de ser posible, a m谩s tardar 72聽horas despu茅s de que haya tenido constancia de ella, a menos que sea improbable que dicha violaci贸n de la seguridad constituya un riesgo para los derechos y las libertades de las personas f铆sicas. Si la notificaci贸n a la autoridad de control no tiene lugar en el plazo de聽72聽horas, deber谩 ir acompa帽ada de indicaci贸n de los motivos de la dilaci贸n.

Textos enlazados

2. El encargado del tratamiento notificar谩 sin dilaci贸n indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificaci贸n contemplada en el apartado聽1 deber谩, como m铆nimo:

a) describir la naturaleza de la violaci贸n de la seguridad de los datos personales, inclusive, cuando sea posible, las categor铆as y el n煤mero aproximado de interesados afectados, y las categor铆as y el n煤mero aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del delegado de protecci贸n de datos o de otro punto de contacto en el que pueda obtenerse m谩s informaci贸n;

c) describir las posibles consecuencias de la violaci贸n de la seguridad de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violaci贸n de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4. Si no fuera posible facilitar la informaci贸n simult谩neamente, y en la medida en que no lo sea, la informaci贸n se facilitar谩 de manera gradual sin dilaci贸n indebida.

5. El responsable del tratamiento documentar谩 cualquier violaci贸n de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentaci贸n permitir谩 a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente art铆culo.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


para acceder al texto completo

Considerandos

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entra帽ar da帽os y perjuicios f铆sicos, materiales o inmateriales para las personas f铆sicas, como p茅rdida de control sobre sus datos personales o restricci贸n de sus derechos, discriminaci贸n, usurpaci贸n de identidad, p茅rdidas financieras, reversi贸n no autorizada de la seudonimizaci贸n, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio econ贸mico o social significativo para la persona f铆sica en cuesti贸n. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violaci贸n de la seguridad de los datos personales, el responsable debe, sin dilaci贸n indebida y, de ser posible, a m谩s tardar 72 horas despu茅s de que haya tenido constancia de ella, notificar la violaci贸n de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violaci贸n de la seguridad de los datos personales entra帽e un riesgo para los derechos y las libertades de las personas f铆sicas. Si dicha notificaci贸n no es posible en el plazo de 72 horas, debe acompa帽arse de una indicaci贸n de los motivos de la dilaci贸n, pudiendo facilitarse informaci贸n por fases sin m谩s dilaci贸n indebida.

(87) Debe verificarse si se ha aplicado toda la protecci贸n tecnol贸gica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violaci贸n de la seguridad de los datos personales y para informar sin dilaci贸n a la autoridad de control y al interesado. Debe verificarse que la notificaci贸n se ha realizado sin dilaci贸n indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violaci贸n de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificaci贸n puede resultar en una intervenci贸n de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(88) Al establecer disposiciones de aplicaci贸n sobre el formato y los procedimientos aplicables a la notificaci贸n de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violaci贸n, inclusive si los datos personales hab铆an sido protegidos mediante las medidas t茅cnicas de protecci贸n adecuadas, limitando eficazmente la probabilidad de usurpaci贸n de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses leg铆timos de las autoridades policiales en caso de que una comunicaci贸n prematura pueda obstaculizar innecesariamente la investigaci贸n de las circunstancias de una violaci贸n de la seguridad de los datos personales.

Ley de Directrices y caso Deja un comentario
[js-disqus]