Notificación de una violación de la seguridad de los datos personales a la autoridad de control

El Reglamento General de Protección de Datos (RGPD) define una “violación de la seguridad de datos personales” como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En su artículo 33 se regula la necesaria notificación, por parte del responsable de tratamiento, de violaciones de la seguridad de los datos personales a la autoridad de control competente sin dilación indebida y, de ser posible a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Agencia Española de Protección de Datos, en colaboración con el Centro Criptológico Nacional y con el Instituto Nacional de Ciberseguridad, ha editado una “Guía para la gestión y notificación de brechas de seguridad”, con el objeto de facilitar a los responsables de tratamiento la identificación de dichos incidentes y cómo gestionar su notificación a la autoridad de control. A estos efectos, la Agencia ha elaborado una herramienta, denominada Comunica Brecha RGPD, con el objeto de ayudar a la decisión sobre la realización de la mencionada comunicación. Esta herramienta ha sido integrada en la página web del Consejo.