Navegaci贸n
RGPD > Art铆culo聽34. Comunicaci贸n de una violaci贸n de la seguridad de los datos personales al interesado
Descargar PDF

Art铆culo聽34 RGPD. Comunicaci贸n de una violaci贸n de la seguridad de los datos personales al interesado

Article 34 GDPR. Communication of a personal data breach to the data subject

1. Cuando sea probable que la violaci贸n de la seguridad de los datos personales entra帽e un alto riesgo para los derechos y libertades de las personas f铆sicas, el responsable del tratamiento la comunicar谩 al interesado sin dilaci贸n indebida.

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. La comunicaci贸n al interesado contemplada en el apartado聽1 del presente art铆culo describir谩 en un lenguaje claro y sencillo la naturaleza de la violaci贸n de la seguridad de los datos personales y contendr谩 como m铆nimo la informaci贸n y las medidas a que se refiere el art铆culo聽33, apartado聽3, letras聽b), c) y聽d).

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points聽(b), (c) and (d) of Article聽33(3).

Textos enlazados

3. La comunicaci贸n al interesado a que se refiere el apartado聽1 no ser谩 necesaria si se cumple alguna de las condiciones siguientes:

3. The communication to the data subject referred to in paragraph聽1 shall not be required if any of the following conditions are met:

a) el responsable del tratamiento ha adoptado medidas de protecci贸n t茅cnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violaci贸n de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no est茅 autorizada a acceder a ellos, como el cifrado;

(a)聽the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado聽1;

(b)聽the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph聽1 is no longer likely to materialise;

c) suponga un esfuerzo desproporcionado. En este caso, se optar谩 en su lugar por una comunicaci贸n p煤blica o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

(c)聽it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. Cuando el responsable todav铆a no haya comunicado al interesado la violaci贸n de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violaci贸n entra帽e un alto riesgo, podr谩 exigirle que lo haga o podr谩 decidir que se cumple alguna de las condiciones mencionadas en el apartado聽3.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


para acceder al texto completo

Considerandos

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(86) El responsable del tratamiento debe comunicar al interesado sin dilaci贸n indebida la violaci贸n de la seguridad de los datos personales en caso de que puede entra帽ar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicaci贸n debe describir la naturaleza de la violaci贸n de la seguridad de los datos personales y las recomendaciones para que la persona f铆sica afectada mitigue los potenciales efectos adversos resultantes de la violaci贸n. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperaci贸n con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. As铆, por ejemplo, la necesidad de mitigar un riesgo de da帽os y perjuicios inmediatos justificar铆a una r谩pida comunicaci贸n con los interesados, mientras que cabe justificar que la comunicaci贸n lleve m谩s tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

(87) Debe verificarse si se ha aplicado toda la protecci贸n tecnol贸gica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violaci贸n de la seguridad de los datos personales y para informar sin dilaci贸n a la autoridad de control y al interesado. Debe verificarse que la notificaci贸n se ha realizado sin dilaci贸n indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violaci贸n de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificaci贸n puede resultar en una intervenci贸n de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Al establecer disposiciones de aplicaci贸n sobre el formato y los procedimientos aplicables a la notificaci贸n de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violaci贸n, inclusive si los datos personales hab铆an sido protegidos mediante las medidas t茅cnicas de protecci贸n adecuadas, limitando eficazmente la probabilidad de usurpaci贸n de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses leg铆timos de las autoridades policiales en caso de que una comunicaci贸n prematura pueda obstaculizar innecesariamente la investigaci贸n de las circunstancias de una violaci贸n de la seguridad de los datos personales.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Ley de Directrices y caso Deja un comentario
[js-disqus]