Artículo 33 RGPD. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
Article 33 GDPR. Notification of a personal data breach to the supervisory authority
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
[…]
[…]
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
3. The notification referred to in paragraph 1 shall at least:
[…]
[…]
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
(c) describe the likely consequences of the personal data breach;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
“Lenguaje claro y sencillo”
“Clear and plain language”
En el caso de la información “escrita” (y cuando la información escrita se comunique verbalmente, o mediante métodos auditivos o audiovisuales, también para interesados con problemas de visión), han de seguirse las mejores prácticas para escribir con claridad.[11] El legislador de la UE ya ha utilizado previamente un requisito lingüístico similar (apelando al uso de “términos claros y comprensibles”) y también aparece explícitamente mencionado en el contexto del consentimiento en el considerando 42 del RGPD[13]. La obligación de utilizar un lenguaje claro y sencillo implica que la información debe facilitarse de la forma más simple posible, evitando oraciones y estructuras lingüísticas complejas. La información debe ser concreta y categórica; no debe formularse en términos abstractos o ambivalentes ni dejar margen para distintas interpretaciones. En concreto, los fines y la base jurídica del tratamiento de los datos personales deben ser claros.
With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
…
Iniciar sesión
para acceder al texto completo