En términos generales, si, al igual que un responsable del tratamiento, se muestra una violación de la seguridad de los datos personales, es necesario evaluar si el interesado debe ser informado de la violación. Si esta evaluación demuestra que la violación implica un alto riesgo para los derechos y la libertad de la persona física, el responsable del tratamiento debe informar al interesado de la infracción.
Esto es importante porque la notificación al interesado permite tomar algunas precauciones necesarias en caso de transmisión de datos personales.
Notificación al interesado en caso de violación de la seguridad de los datos personales.
Con el Reglamento General de Protección de Datos, tanto las empresas públicas como las privadas y la organización deben realizar una evaluación de riesgos para el derecho del interesado, que se asociará a una violación especial de la seguridad de los datos personales.
Si un responsable del tratamiento sufre una violación de la seguridad de los datos personales que implica un alto riesgo de derechos personales y libertad del interesado, debe informar al interesado de la infracción sin demora, ver el artículo 34 del GDPR.
¿Qué significa hacer una evaluación?
No hay una definición real de «alto riesgo» en el GDPR. De todos modos pensamos que cuanto más graves son las consecuencias de la violación, el más alto es el riesgo para el interesado involucrado. Del mismo modo, una mayor probabilidad de que una infracción tenga consecuencias para los afectados también dará lugar a un mayor riesgo.
Por lo tanto, si es absolutamente seguro o casi seguro de que la violación tendrá consecuencias para el interesado, la notificación debe hacerse incluso si las consecuencias no son tan graves, no es importante lo pequeña que será la probabilidad de que esto suceda.
Como responsable del tratamiento, debe tener en cuenta todas las posibles consecuencias y efectos negativos.
Esto incluye también posibles consecuencias «secundarias» para el interesado. Una consecuencia «secundaria», puede ocurrir, por ejemplo, en relación con la pérdida de una contraseña de cuenta, porque muchos usuarios usan la misma contraseña para una cuenta diferente. La infracción también incluirá una violación de privacidad relacionada con otra cuenta.
Esta evaluación debe incluir una decisión sobre la naturaleza de los datos personales y el número de destinatarios no autorizados.
Cuando un responsable del tratamiento puede abstenerse de notificar.
Hay diferentes situaciones en las que como responsable del tratamiento puede abstenerse de la comunicación al interesado.
La violación no implica un alto riesgo para el interesado.
Esto incluye en la situación en la que se envía una pequeña asociación un correo electrónico conjunto a los destinatarios con los destinatarios de correo electrónico de los demás destinatarios en el campo cc en lugar de en el campo cc.
El responsable del tratamiento ha implementado las medidas técnicas y organizativas de protección adecuadas. Aquí, por ejemplo, sobre la situación en la que se han adoptado medidas que hacen que los datos personales sean incomprensibles para cualquier persona que no haya autorizado el acceso a los mismos, por ejemplo, el cifrado.
Si la notificación requiere un esfuerzo desproporcionado.
El hecho de que la notificación requiera un esfuerzo desproporcionado depende de un equilibrio entre las consecuencias que la infracción pueda tener para el esfuerzo del interesado y el propietario del tratamiento. Un ejemplo de una situación en la que la notificación sería desproporcionada es aquella en la que una empresa ha perdido el control de la información de sus clientes en relación con un ataque ransomware.
En situaciones en las que el responsable del tratamiento considere que sería desproporcionado informar a la persona interesada, el responsable del tratamiento podrá, en su lugar, emitir un aviso público o una medida similar cuando las personas afectadas estén igualmente informadas.
Si el alto riesgo, debido a medidas posteriores, ya no es real.
Si el responsable del tratamiento, después de detectar una violación de la seguridad de los datos personales, toma medidas posteriores y, sobre esa base, concluye que el riesgo ya no es real, el responsable del tratamiento no está obligado a notificar al interesado.
¿Quién es el responsable?
El responsable del tratamiento es responsable de notificar a la persona interesada. También es el titular del tratamiento quien tiene la carga de probar que se aplica una de las excepciones a la obligación de notificación.
Si usted, como responsable del tratamiento de datos, no ha notificado ya al interesado, la Agencia Danesa de Protección de Datos podrá, tras evaluar la probabilidad de que la infracción suponga un riesgo elevado, solicitar notificarlo al interesado.
Guía para gestionar las infracciones de seguridad de los datos personales.
haandtering-af-brud-paa-persondatasikkerheden