¿A quién hay que comunicar lo ocurrido en una brecha de datos personales?

A los afectados en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para sus derechos o libertades de estos, de forma que la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a las personas afectadas es permitir que puedan tomar medidas para protegerse de las posibles consecuencias derivadas de la brecha de datos. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea conocedor de lo ocurrido evitando posibles consecuencias negativas que la brecha pudiera tener para él, o para su entorno personal y familiar. 

Para evaluar el posible riesgo que una brecha de datos pudiera tener para las personas físicas, sus derechos y libertades, la AEPD pone a disposición de encargados y responsables de los tratamientos de datos personales la herramienta de ayuda COMUNICA-BRECHA RGPD que puede consultarse en el siguiente enlace: Herramienta para evaluar la obligación de comunicar a las personas interesadas: COMUNICA-BRECHA RGPD 

COMUNICA-BRECHA RGPD es una herramienta de ayuda que no sustituye al responsable o al encargado en la toma de decisiones con relación a la comunicación de la brecha.

La AEPD ha elaborado una infografía al objeto de mostrar con mayor claridad el proceso de gestión de una comunicación de brechas de datos a los interesados. Puede consultarse en el siguiente enlace: Infografía Comunicación Brechas de Datos Personales

Puede también consultar el microsite específico sobre brechas de datos en el siguiente enlace: Microsite sobre brechas de datos personales