RGPD El artículo 34 describe la obligación de una organización de informar a los interesados de una violación de datos que probablemente resulte en un riesgo significativo para sus derechos y libertades como individuos.
Comunicación de una violación de datos personales al interesado
- Cuando la violación de datos personales pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará la violación de datos personales al interesado sin demora indebida.
- La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de los datos personales y contendrá al menos la información y las medidas mencionadas en las letras b), c) y d. ) del artículo 33, apartado 3.
- No será necesaria la comunicación al interesado a que se refiere el apartado 1 si se cumple alguna de las siguientes condiciones:
- (a) el controlador ha implementado medidas de protección técnicas y organizativas apropiadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
- b) el responsable del tratamiento haya adoptado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades de los interesados a que se refiere el apartado 1.
- (c) implicaría un esfuerzo desproporcionado. En tal caso, se realizará en su lugar una comunicación pública o medida similar por la que se informe a los interesados de manera igualmente efectiva.
- Si el responsable del tratamiento aún no ha comunicado la violación de datos personales al interesado, la autoridad de control, habiendo considerado la probabilidad de que la violación de datos personales resulte en un riesgo elevado, podrá exigirle que lo haga o podrá decidir que se cumpla cualquiera de las condiciones mencionadas. a lo dispuesto en el apartado 3.
Comunicación de una violación de datos personales al interesado
- Cuando la violación de datos personales pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará la violación de datos personales al interesado sin demora indebida.
- La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de los datos personales y contendrá al menos la información y las medidas mencionadas en las letras b), c) y d. ) del artículo 33, apartado 3.
- No será necesaria la comunicación al interesado a que se refiere el apartado 1 si se cumple alguna de las siguientes condiciones:
- (a) el controlador ha implementado medidas de protección técnicas y organizativas apropiadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
- b) el responsable del tratamiento haya adoptado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades de los interesados a que se refiere el apartado 1.
- (c) implicaría un esfuerzo desproporcionado. En tal caso, se realizará en su lugar una comunicación pública o medida similar por la que se informe a los interesados de manera igualmente efectiva.
- Si el responsable del tratamiento aún no ha comunicado la violación de los datos personales al interesado, el Comisionado, habiendo considerado la probabilidad de que la violación de los datos personales resulte en un riesgo elevado, podrá exigirle que lo haga o podrá decidir que cualquiera de las condiciones mencionadas en el apartado 3 se cumplen.
Solicite un presupuesto
El artículo 34 del RGPD deja claro que no todas las violaciones deben comunicarse a los interesados. Sin embargo, las organizaciones deben comunicar los detalles de una infracción cuando sea probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas.
El artículo 34 describe tres áreas principales en las que centrarse al comunicar una violación de datos:
Los controladores no están obligados a comunicar una infracción en los tres escenarios siguientes:
En esta sección hablamos de los artículos 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) y 34 (4) del RGPD.
Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:
El personal involucrado en incidentes de seguridad de la información privada debe comprender:
Al abordar eventos de seguridad de la información de privacidad, el personal debe:
Las actividades de presentación de informes deben centrarse en cuatro áreas clave:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
En esta sección hablamos de los artículos 34 (2) y 34 (1) del RGPD.
Las organizaciones deben garantizar que los incidentes de seguridad de la información privada sean tratados por un equipo técnico dedicado con las habilidades y recursos para lograr una resolución rápida (consulte ISO 27002 Control 5.24).
Las organizaciones deberían:
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículos 34 (1) a 34 (4) del RGPD UE | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
Artículos 34 (2) y 34 (1) del RGPD UE | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Gracias a la guía integrada y a nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', ISMS.online hace que demostrar el cumplimiento del RGPD sea muy sencillo. También tendrá a su disposición una gama de potentes funciones que le permitirán ahorrar tiempo.
Con nuestra plataforma intuitiva, puede lograr múltiples objetivos de privacidad y seguridad de la información al mapear su trabajo a través de múltiples estándares y marcos.
Si necesita ayuda o asesoramiento durante su camino hacia el RGPD, podemos poner a su disposición nuestro equipo de expertos internos o recomendarle un socio de confianza que pueda ayudarle.
Descubre más por reservar una demostración.
He logrado ISO 27001 de la manera más difícil, así que realmente valoro cuánto tiempo nos ahorró lograr la certificación ISO 27001.