¿Se les exigirá a las entidades que informen en todos los casos a los reguladores y a los interesados afectado sobre cualquier brecha de seguridad en sus sistemas técnicos?
A la luz de lo estipulado en el artículo 33.1 de la RGPD, no será necesario en todos los casos informar sobre dichas infracciones. No obstante, si se trata de una violación de la seguridad que constituye un riesgo para los derechos y las libertades de las personas físicas, el responsable del tratamiento deberá notificarla a la autoridad de control competente.
El concepto de “riesgo a los derechos y libertades” aún no ha sido aclarado por las autoridades. No obstante, dicho riesgo debería estar relacionado con un acceso no autorizado por parte de un tercero a la información del interesado y que conlleve la violación de los derechos de privacidad de dicho individuo o cualquier otro derecho relevante (p.e. perjuicio económico derivado del uso de su tarjeta de crédito a cuyos datos se haya accedido indebidamente).
Por lo tanto, de acuerdo con este enfoque, los incidentes que no tengan consecuencias sobre los derechos y libertades de las personas (por ejemplo, la pérdida de información, sin que un tercero llegue a acceder a dichos datos) no deberán ser notificados en base al RGPD.
