Comunicación de brechas de datos personales a los interesados

Última revisión

Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.

El artículo 34 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de comunicar a las personas afectadas aquellas brechas de datos personales que puedan entrañar un riesgo alto para sus derechos y libertades.

El responsable de tratamiento debe valorar el nivel de riesgo de una brecha de datos personales y en aquellos casos en los que determine que el riesgo para los derechos y libertades de las personas pueda ser alto, deberá comunicar la brecha a los afectados y notificarla a la autoridad de control competente conforme al artículo 33 del RGPD.

Con el objetivo de ayudar en la toma de decisiones, la AEPD ofrece la herramienta Comunica-Brecha RGPD.

La comunicación a las personas afectadas debe realizarse en un lenguaje claro y sencillo, dirigirse específicamente a aquellas personas para las que exista un riesgo alto de que sus derechos y libertades pueden verse dañados, e incluir el siguiente contenido mínimo:

  • Datos de contacto del DPD, o en su caso, del punto de contacto en el que pueda obtenerse más información.
  • Descripción general del incidente y momento en que se ha producido.   
  • Las posibles consecuencias de la brecha de datos personales.
  • Descripción de los datos e información personal afectados.
  • Resumen de las medidas implantadas hasta el momento para controlar los posibles daños.
  • Otras informaciones útiles para que los afectados puedan proteger sus datos o prevenir posibles daños.

La comunicación preferentemente se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que el responsable considere adecuado.

Cuando la comunicación a los afectados suponga un esfuerzo desproporcionado con relación a los riesgos para los derechos y libertades que están sufriendo los interesados, se podrá realizar una comunicación indirecta a través de avisos públicos.

En tal caso, el aviso público ocupará un lugar destacado, de forma que en ningún caso pueda pasar desapercibidos.

Una comunicación incompleta (sin el contenido mínimo), de difícil acceso o realizada a las personas incorrectas no es efectiva, por lo que una comunicación en estas condiciones podría llegar a considerarse una comunicación no realizada.

Con el objetivo de ayudar en la obligación de comunicar las brechas de datos personales a las personas afectadas, la AEPD ofrece indicaciones en la Guía para la notificación de brechas de datos personales así como otros recursos en el apartado de innovación y tecnología.