Navegaci贸n
RGPD > Considerando 85
Descargar PDF

Considerando 85

Recital 85

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entra帽ar da帽os y perjuicios f铆sicos, materiales o inmateriales para las personas f铆sicas, como p茅rdida de control sobre sus datos personales o restricci贸n de sus derechos, discriminaci贸n, usurpaci贸n de identidad, p茅rdidas financieras, reversi贸n no autorizada de la seudonimizaci贸n, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio econ贸mico o social significativo para la persona f铆sica en cuesti贸n.

Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violaci贸n de la seguridad de los datos personales, el responsable debe, sin dilaci贸n indebida y, de ser posible, a m谩s tardar 72 horas despu茅s de que haya tenido constancia de ella, notificar la violaci贸n de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violaci贸n de la seguridad de los datos personales entra帽e un riesgo para los derechos y las libertades de las personas f铆sicas.

Si dicha notificaci贸n no es posible en el plazo de 72 horas, debe acompa帽arse de una indicaci贸n de los motivos de la dilaci贸n, pudiendo facilitarse informaci贸n por fases sin m谩s dilaci贸n indebida.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned.

Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.