Obligaciones

    El Reglamento (UE) 2016/679, General de Protección de Datos establece en sus artículos 33 y 34 la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de notificar a la Autoridad de Control competente las brechas de seguridad que puedan ocasionar daños y perjuicios sobre las personas y, si esos daños son graves, comunicar la brecha a  las personas cuyos datos  se hayan visto afectados para que puedan tomar sus propias medidas. El plazo para notificar a la Autoridad de Control es de 72 horas desde que la organización es conocedora de la brecha.

    Además, existen otras disposiciones normativas que obligan a notificar brechas de seguridad a la AEPD, como el artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones a los operadores de servicios de comunicaciones electrónicas disponibles al público.

    En ambos casos, las notificaciones de brechas de seguridad por parte de organizaciones que tratan datos personales a la AEPD se realizan mediante el formulario de notificaciones de brechas de seguridad disponible en la Sede Electrónica.

    La organización debe reflexionar sobre lo que ha sucedido, cuáles son las consecuencias para las personas cuyos datos se han visto afectados, qué medidas de seguridad técnicas u organizativas podrían haber evitado la brecha y la conveniencia de incorporarlas, y qué acciones tomar para evitar que las personas sufran los daños potenciales y evitar que el incidente se repita.

    Lo que subyace a dicha obligación de notificación es un deber más amplio y que insta al responsable a implementar un procedimiento de gestión de incidentes de seguridad que afecten a datos de carácter personal adaptado a las características del tratamiento.

    Blog y Preguntas frecuentes (FAQs)

    Guías

    Formulario de notificación de brechas de seguridad

    Datos de notificaciones