Navigering
GDPR > Art铆culo聽34. Comunicaci贸n de una violaci贸n de la seguridad de los datos personales al interesado
H盲mta PDF

Art铆culo聽34 RGPD. Comunicaci贸n de una violaci贸n de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violaci贸n de la seguridad de los datos personales entra帽e un alto riesgo para los derechos y libertades de las personas f铆sicas, el responsable del tratamiento la comunicar谩 al interesado sin dilaci贸n indebida.

2. La comunicaci贸n al interesado contemplada en el apartado聽1 del presente art铆culo describir谩 en un lenguaje claro y sencillo la naturaleza de la violaci贸n de la seguridad de los datos personales y contendr谩 como m铆nimo la informaci贸n y las medidas a que se refiere el art铆culo聽33, apartado聽3, letras聽b), c) y聽d).

Relaterade texter

3. La comunicaci贸n al interesado a que se refiere el apartado聽1 no ser谩 necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protecci贸n t茅cnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violaci贸n de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no est茅 autorizada a acceder a ellos, como el cifrado;

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado聽1;

c) suponga un esfuerzo desproporcionado. En este caso, se optar谩 en su lugar por una comunicaci贸n p煤blica o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4. Cuando el responsable todav铆a no haya comunicado al interesado la violaci贸n de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violaci贸n entra帽e un alto riesgo, podr谩 exigirle que lo haga o podr谩 decidir que se cumple alguna de las condiciones mencionadas en el apartado聽3.

ISO 27701 Sk盲len Riktlinjer & Case Law L盲mna en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


f枚r att komma 氓t hela texten褍

Sk盲len

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(86) El responsable del tratamiento debe comunicar al interesado sin dilaci贸n indebida la violaci贸n de la seguridad de los datos personales en caso de que puede entra帽ar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicaci贸n debe describir la naturaleza de la violaci贸n de la seguridad de los datos personales y las recomendaciones para que la persona f铆sica afectada mitigue los potenciales efectos adversos resultantes de la violaci贸n. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperaci贸n con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. As铆, por ejemplo, la necesidad de mitigar un riesgo de da帽os y perjuicios inmediatos justificar铆a una r谩pida comunicaci贸n con los interesados, mientras que cabe justificar que la comunicaci贸n lleve m谩s tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

(87) Debe verificarse si se ha aplicado toda la protecci贸n tecnol贸gica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violaci贸n de la seguridad de los datos personales y para informar sin dilaci贸n a la autoridad de control y al interesado. Debe verificarse que la notificaci贸n se ha realizado sin dilaci贸n indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violaci贸n de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificaci贸n puede resultar en una intervenci贸n de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(88) Al establecer disposiciones de aplicaci贸n sobre el formato y los procedimientos aplicables a la notificaci贸n de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violaci贸n, inclusive si los datos personales hab铆an sido protegidos mediante las medidas t茅cnicas de protecci贸n adecuadas, limitando eficazmente la probabilidad de usurpaci贸n de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses leg铆timos de las autoridades policiales en caso de que una comunicaci贸n prematura pueda obstaculizar innecesariamente la investigaci贸n de las circunstancias de una violaci贸n de la seguridad de los datos personales.

Riktlinjer & Case Law L盲mna en kommentar
[js-disqus]