¿A quién hay que notificar las brechas de datos personales?

Cuando se produzca una violación de la seguridad de los datos (brecha de datos personales), el responsable debe notificarla:

1. A la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación de la brecha a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. La notificación ha de incluir un contenido mínimo:
   1. la naturaleza de la violación
   2. categorías de datos y de interesados afectados
   3. medidas adoptadas por el responsable para solventar la brecha
   4. si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las brechas de datos personales sufridas.
2. A los afectados en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los mismos, de forma que la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
   El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la brecha.
   Esta notificación a los afectados no será necesaria cuando:
   1. El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
   2. Cuando el responsable haya tomado con posterioridad a la brecha medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
   3. Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.