RGPD El artículo 33 trata de la obligación de una organización de notificar a la autoridad legal o regulatoria pertinente cuando los derechos y libertades de un individuo se han puesto en riesgo, debido a sus acciones (o las acciones de un tercero asociado) como controlador de datos.
Notificación de una violación de datos personales a la autoridad de control
- En el caso de una violación de datos personales, el controlador deberá, sin demora indebida y, cuando sea posible, no más tarde de 72 horas después de haberlo tenido conocimiento, notificar la violación de datos personales a la autoridad de supervisión competente de conformidad con el Artículo 55, a menos que Es poco probable que la violación de datos personales suponga un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación a la autoridad supervisora no se realice dentro de las horas 72, deberá ir acompañada de las razones de la demora.
- El encargado del tratamiento deberá notificar al responsable del tratamiento sin demora indebida una vez que tenga conocimiento de una violación de datos personales.
- La notificación a que se refiere el apartado 1 deberá, como mínimo:
- Describir la naturaleza de la violación de datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
- Comunicar el nombre y datos de contacto del delegado de protección de datos u otro punto de contacto donde se pueda obtener más información;
- Describir las posibles consecuencias de la violación de datos personales;
- Describa las medidas adoptadas o propuestas a adoptar por el responsable del tratamiento para abordar la violación de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
- Cuando y en la medida en que no sea posible facilitar la información al mismo tiempo, ésta podrá facilitarse por fases sin más demoras indebidas.
- El responsable del tratamiento documentará cualquier violación de datos personales, incluidos los hechos relacionados con la violación de datos personales, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento del presente artículo.
Notificación de una violación de datos personales al Comisionado
- En el caso de una violación de datos personales, el controlador deberá notificar la violación de datos personales al Comisionado sin demora indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella, a menos que sea poco probable que la violación de datos personales entrañar un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación prevista en este apartado no se realice en el plazo de 72 horas, deberá ir acompañada de los motivos del retraso.
- El encargado del tratamiento deberá notificar al responsable del tratamiento sin demora indebida una vez que tenga conocimiento de una violación de datos personales.
- La notificación a que se refiere el apartado 1 deberá, como mínimo:
- Describir la naturaleza de la violación de datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
- Comunicar el nombre y datos de contacto del delegado de protección de datos u otro punto de contacto donde se pueda obtener más información;
- Describir las posibles consecuencias de la violación de datos personales;
- Describa las medidas adoptadas o propuestas a adoptar por el responsable del tratamiento para abordar la violación de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
- Cuando y en la medida en que no sea posible facilitar la información al mismo tiempo, ésta podrá facilitarse por fases sin más demoras indebidas.
- El responsable del tratamiento documentará cualquier violación de datos personales, incluidos los hechos relacionados con la violación de datos personales, sus efectos y las medidas correctivas adoptadas. Esa documentación permitirá al Comisionado verificar el cumplimiento de este artículo.
Reserva una charla de 30 minutos con nosotros y te mostraremos cómo
Además de documentar exhaustivamente todos los eventos relacionados con una infracción, las organizaciones deben considerar seis factores gobernantes al actuar ante una violación de datos:
Al notificar a la autoridad supervisora, las organizaciones deben:
Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:
El personal involucrado en incidentes de seguridad de la información privada debe comprender:
Al abordar eventos de seguridad de la información de privacidad, el personal debe:
Las actividades de presentación de informes deben centrarse en cuatro áreas clave:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Las organizaciones deben garantizar que los incidentes de seguridad de la información privada sean tratados por un equipo técnico dedicado con las habilidades y recursos para lograr una resolución rápida (consulte ISO 27002 Control 5.24).
Las organizaciones deberían:
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículos 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) y 34 (4) del RGPD UE | ISO 27701 6.13.1.1 | ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
Artículos 34 (1) y 34 (2) del RGPD UE | ISO 27701 6.13.1.5 | ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
Una infracción del RGPD puede dar lugar a multas importantes, lo que la convierte en una de las normas de privacidad y seguridad más estrictas del mundo. Como resultado, implica que las organizaciones deben proteger los datos personales en un grado "razonable".
Pero he aquí las buenas noticias.
En una ubicación segura y siempre activa, ISMS.online le facilita acceder directamente al cumplimiento del RGPD y demostrar un nivel de protección que va más allá de lo "razonable".
Hacemos que el mapeo de datos sea una tarea sencilla. Al agregar los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento, puede registrarlo y revisarlo todo fácilmente.
Si sucede lo peor, estarás preparado.
Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.
Descubre más por reservando una breve demostración de 30 minutos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración