De acuerdo con lo previsto en el Reglamento Europeo de Protección de Datos Personales ante cualquier violación de la seguridad de los datos personales, el responsable del tratamiento debe observar varias obligaciones, tanto frente a las autoridades como frente a los interesados.
En lo que respecta a la notificación a la autoridad de control competente, el propio Reglamento prevé cuándo y qué notificar.
¿Cuándo?
El responsable debe notificar la violación de la seguridad de los datos personales sin dilación y como muy tarde 72 horas después de dicho suceso, de lo contrario deberá hacer constar los motivos del retraso.
¿Qué?
El responsable debe mencionar en la notificación el tipo de transgresión sufrida (destrucción, pérdida, alteración, comunicación o acceso a los datos personales). Igualmente, se hará constar la categoría de datos, el número aproximado de interesados afectados, datos de contacto para obtener más información y las consecuencias de la violación. Por último, esta notificación deberá describir las medidas adoptadas o propuestas para remediar lo ocurrido, e incluso mitigar sus daños.
Por otro lado, el responsable está obligado a comunicar a los interesados, esto es, a las personas físicas cuyos datos personales se han visto afectados, la naturaleza de la violación. La comunicación debe contener un lenguaje claro y sencillo y debe incluir un contenido mínimo. Asimismo, y aunque el Reglamento no fija un plazo concreto, sí que se refiere a una comunicación sin dilación indebida. Además, cuando el responsable haya adoptado medidas de protección como el cifrado de los datos personales, medidas que reduzcan los riesgos para el interesado y la comunicación individual implique un esfuerzo desproporcionado, ésta se puede sustituir por una comunicación pública.
Finalmente, la inobservancia de las obligaciones descritas puede acarrear sanciones de diversa modalidad para el responsable del tratamiento, entre otras, la imposición de una limitación temporal o definitiva para el tratamiento de datos o multas. Para la imposición de multas se tendrán en cuenta circunstancias como las medidas adoptadas para paliar los daños, infracciones anteriores cometidas y el grado de cooperación con la autoridad de control. En cualquier caso, siendo el infractor una empresa la multa puede alcanzar hasta 10 millones de euros o el 2% del volumen de negocio anual, optándose en tal caso por la cuantía mayor.
Llegados a este punto consideramos oportuno recordarles que a partir del 25 de mayo del 2018 será aplicable el Reglamento Europeo de Protección de Datos Personales. Para entonces ya habrán transcurrido los dos años con los que contábamos para adaptarnos a la nueva regulación y la pregunta es ¿estamos preparados? En AddVANTE contamos con una extensa experiencia en esta materia y estamos listos para asesorarles en la implantación de la nueva regulación.
Eulalia Rubio
