HomeModelo documento onlineBrecha de seguridad a la AEPD y a los afectados

Brecha de seguridad a la AEPD y a los afectados

Progreso
0% completado

Antes de que la RGPD entrara en vigor solo se consideraba la obligación de informar sobre las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público.

Todos los Responsables del tratamiento se ven obligados a notificar las violaciones de seguridad de los datos antes de pasadas las 72 horas a la Agencia Española de Protección de Datos y a los afectados, según establece el Reglamento UE 2016/679 (RGPD).

Las empresas están obligadas a incorporar procedimientos de contingencia y comunicación de esta clase de incidencias, debido a la notificación obligatoria de brechas en caso de que estas se produzcan. También se contempla la implantación de medidas de seguridad adecuadas, incluyendo los sistemas de detección y análisis de intrusiones imprescindibles que nos autoricen proteger los datos de los particulares y la información privada de la empresa, implantar mecanismos de prevención de ataques informáticos y esencialmente, eludir brechas de seguridad que soliciten notificación. La obligación de notificar una brecha de seguridad recae sobre el responsable del tratamiento, quien debe contactar tanto a las autoridades control competentes como a los afectados de la fuga de datos. Si ocurre una violación de datos personales debido a una incidencia en la seguridad, esta debe ser advertida, si es posible, antes de que pasen 72 horas de haber detectado la misma. No solo las empresas del sector de comunicaciones electrónicas tienen dicha obligación, esta se extiende a cualquier responsable del tratamiento.

El encargado del tratamiento, si ha sido él quien ha producido la brecha, se encuentra bajo la obligación de advertir y notificar al responsable del tratamiento inmediatamente después de haber constatado una violación de datos personales.

En caso de que el responsable no haya notificado nada, el incumplimiento de esta normativa se considera como una infracción grave, y la misma puede ser condenada con multas administrativas de hasta 10 millones de euros como máximo o, tratándose de una empresa, un importe que equivalga al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo el de mayor cantidad.