Más
Navegación
CAPÍTULO I Disposiciones generales (1-4)
Artículo 1. ObjetoArtículo 2. Ámbito de aplicación materialArtículo 3. Ámbito territorialArtículo 4. Definiciones
CAPÍTULO II Principios (5-11)
Artículo 5. Principios relativos al tratamientoArtículo 6. Licitud del tratamientoArtículo 7. Condiciones para el consentimientoArtículo 8. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 9. Tratamiento de categorías especiales de datos personalesArtículo 10. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 11. Tratamiento que no requiere identificación
CAPÍTULO III Derechos del interesado (12-23)
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 15. Derecho de acceso del interesadoArtículo 16. Derecho de rectificaciónArtículo 17. Derecho de supresión («el derecho al olvido»)Artículo 18. Derecho a la limitación del tratamientoArtículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 20. Derecho a la portabilidad de los datosArtículo 21. Derecho de oposiciónArtículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 23. Limitaciones
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento (24-43)
Artículo 24. ObjetoArtículo 25. Protección de datos desde el diseño y por defectoArtículo 26. Corresponsables del tratamientoArtículo 27. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 28. Encargado del tratamientoArtículo 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 30. Registro de las actividades de tratamientoArtículo 31. Cooperación con la autoridad de controlArtículo 32. Seguridad del tratamiento
Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
Artículo 34. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 35. Evaluación de impacto relativa a la protección de datosArtículo 36. Consulta previaArtículo 37. Designación del delegado de protección de datosArtículo 38. Posición del delegado de protección de datosArtículo 39. Funciones del delegado de protección de datosArtículo 40. Códigos de conductaArtículo 41. Supervisión de códigos de conducta aprobadosArtículo 42. CertificaciónArtículo 43. Organismo de certificación
CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales (44-50)
Artículo 44. Principio general de las transferenciasArtículo 45. Transferencias basadas en una decisión de adecuaciónArtículo 46. Transferencias mediante garantías adecuadasArtículo 47. Normas corporativas vinculantesArtículo 48. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 49. Excepciones para situaciones específicasArtículo 50. Cooperación internacional en el ámbito de la protección de datos personales
CAPÍTULO VI Autoridades de control independientes (51-59)
Artículo 51. Autoridad de controlArtículo 52. IndependenciaArtículo 53. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 54. Normas relativas al establecimiento de la autoridad de controlArtículo 55. CompetenciaArtículo 56. Competencia de la autoridad de control principalArtículo 57. FuncionesArtículo 58. PoderesArtículo 59. Informe de actividad
CAPÍTULO VII Cooperación y coherencia (60-70)
Artículo 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 61. Asistencia mutuaArtículo 62. Operaciones conjuntas de las autoridades de controlArtículo 63. Mecanismo de coherenciaArtículo 64. Dictamen del ComitéArtículo 65. Resolución de conflictos por el ComitéArtículo 66. Procedimiento de urgenciaArtículo 67. Intercambio de informaciónArtículo 68. Comité Europeo de Protección de DatosArtículo 69. IndependenciaArtículo 70. Funciones del ComitéArtículo 71. InformesArtículo 72. ProcedimientoArtículo 73. PresidenciaArtículo 74. Funciones del presidenteArtículo 75. SecretaríaArtículo 76. Confidencialidad
CAPÍTULO VIII Recursos, responsabilidad y sanciones (77-84)
Artículo 77. Derecho a presentar una reclamación ante una autoridad de controlArtículo 78. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 79. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 80. Representación de los interesadosArtículo 81. Suspensión de los procedimientosArtículo 82. Derecho a indemnización y responsabilidadArtículo 83. Condiciones generales para la imposición de multas administrativasArtículo 84. Sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento (85-91)
Artículo 85. Tratamiento y libertad de expresión y de informaciónArtículo 86. Tratamiento y acceso del público a documentos oficialesArtículo 87. Tratamiento del número nacional de identificaciónArtículo 88. Tratamiento en el ámbito laboralArtículo 89. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 90. Obligaciones de secretoArtículo 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
CAPÍTULO X Actos delegados y actos de ejecución (92-93)
Artículo 92. Ejercicio de la delegaciónArtículo 93. Procedimiento de comité
CAPÍTULO XI Disposiciones finales (94-95)
Artículo 94. Derogación de la Directiva 95/46/CEArtículo 95. Relación con la Directiva 2002/58/CEArtículo 96. Relación con acuerdos celebrados anteriormenteArtículo 97. Informes de la ComisiónArtículo 98. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 99. Entrada en vigor y aplicación
RGPD > Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
Descargar PDF

Artículo 33 RGPD. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

Textos enlazados
Textos enlazados

2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, como mínimo:

a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Reglamento general de protección de datos (RGPD)

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


para acceder al texto completo

Considerandos

(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

(87) Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(88) Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violación, inclusive si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesariamente la investigación de las circunstancias de una violación de la seguridad de los datos personales.

Ley de Directrices y caso Deja un comentario
[js-disqus]