Cómo demostrar el cumplimiento del artículo 34 del RGPD

Comunicación de una violación de datos personales al interesado

Reserve una demostración

parte inferior,vista,de,modernos,rascacielos,en,negocios,distrito,contra,azul

RGPD El artículo 34 describe la obligación de una organización de informar a los interesados ​​de una violación de datos que probablemente resulte en un riesgo significativo para sus derechos y libertades como individuos.

RGPD Artículo 34 Texto Legal

Versión del RGPD de la UE

Comunicación de una violación de datos personales al interesado

  1. Cuando la violación de datos personales pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará la violación de datos personales al interesado sin demora indebida.

  2. La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de los datos personales y contendrá al menos la información y las medidas mencionadas en las letras b), c) y d. ) del artículo 33, apartado 3.

  3. No será necesaria la comunicación al interesado a que se refiere el apartado 1 si se cumple alguna de las siguientes condiciones:

    • (a) el controlador ha implementado medidas de protección técnicas y organizativas apropiadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.

    • b) el responsable del tratamiento haya adoptado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades de los interesados ​​a que se refiere el apartado 1.

    • (c) implicaría un esfuerzo desproporcionado. En tal caso, se realizará en su lugar una comunicación pública o medida similar por la que se informe a los interesados ​​de manera igualmente efectiva.
  4. Si el responsable del tratamiento aún no ha comunicado la violación de datos personales al interesado, la autoridad de control, habiendo considerado la probabilidad de que la violación de datos personales resulte en un riesgo elevado, podrá exigirle que lo haga o podrá decidir que se cumpla cualquiera de las condiciones mencionadas. a lo dispuesto en el apartado 3.

Versión del RGPD del Reino Unido

Comunicación de una violación de datos personales al interesado

  1. Cuando la violación de datos personales pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará la violación de datos personales al interesado sin demora indebida.

  2. La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de los datos personales y contendrá al menos la información y las medidas mencionadas en las letras b), c) y d. ) del artículo 33, apartado 3.

  3. No será necesaria la comunicación al interesado a que se refiere el apartado 1 si se cumple alguna de las siguientes condiciones:

    • (a) el controlador ha implementado medidas de protección técnicas y organizativas apropiadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.

    • b) el responsable del tratamiento haya adoptado medidas posteriores que garanticen que ya no sea probable que se materialice el alto riesgo para los derechos y libertades de los interesados ​​a que se refiere el apartado 1.

    • (c) implicaría un esfuerzo desproporcionado. En tal caso, se realizará en su lugar una comunicación pública o medida similar por la que se informe a los interesados ​​de manera igualmente efectiva.

  4. Si el responsable del tratamiento aún no ha comunicado la violación de los datos personales al interesado, el Comisionado, habiendo considerado la probabilidad de que la violación de los datos personales resulte en un riesgo elevado, podrá exigirle que lo haga o podrá decidir que cualquiera de las condiciones mencionadas en el apartado 3 se cumplen.
Saltar al tema

Comentario técnico

El artículo 34 del RGPD deja claro que no todas las violaciones deben comunicarse a los interesados. Sin embargo, las organizaciones deben comunicar los detalles de una infracción cuando sea probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas.

El artículo 34 describe tres áreas principales en las que centrarse al comunicar una violación de datos:

  • El lenguaje utilizado.

  • Los detalles concretos que se comunican.

  • Cómo se realiza la comunicación.

Los controladores no están obligados a comunicar una infracción en los tres escenarios siguientes:

  1. La organización cuenta con "medidas de protección técnicas y organizativas apropiadas".

  2. Se necesitan "medidas posteriores" para mitigar la infracción.

  3. Comunicar la infracción exigiría un esfuerzo desproporcionado.

ISO 27701 Cláusula 6.13.1.1 (Responsabilidades y Procedimientos) y Artículo 34 del RGPD

En esta sección hablamos de los artículos 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) y 34 (4) del RGPD.

Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:

  1. Adherirse a un método para informar eventos de seguridad de la información de privacidad.

  2. Establecer una serie de procesos que gestionen los incidentes relacionados con la seguridad de la información de privacidad en toda la empresa, que incluyen:

    • Administración.

    • Documentación.

    • Detección.

    • Triaje.

    • Priorización.

    • Análisis.

    • Comunicación.
  3. Redactar un procedimiento de respuesta a incidentes que permita a la organización evaluar, responder y aprender de los incidentes.

  4. Asegúrese de que los incidentes sean gestionados por personal capacitado y competente que se beneficie de programas continuos de capacitación y certificación en el lugar de trabajo.

El personal involucrado en incidentes de seguridad de la información privada debe comprender:

  1. El tiempo que debería llevar resolver una incidencia.

  2. Cualquier posible consecuencia.

  3. La gravedad del incidente.

Al abordar eventos de seguridad de la información de privacidad, el personal debe:

  1. Evaluar los eventos de acuerdo con un estricto criterio que los valide como incidentes aprobados.

  2. Clasifique los eventos de seguridad de la información de privacidad en 5 subtemas:

    • Monitoreo (ver ISO 27002 Controles 8.15 y 8.16).

    • Detección (ver Control ISO 27002 8.16).

    • Clasificación (ver ISO 27002 Control 5.25).

    • Análisis.

    • Informes (ver Control ISO 27002 6.8).
  3. Al resolver incidentes de seguridad de la información de privacidad, las organizaciones deben:

    • Responder y escalar problemas (ver Control ISO 27002 5.26) de acuerdo con el tipo de incidente.

    • Activar planes de gestión de crisis y continuidad del negocio.

    • Afectar una recuperación gestionada de un incidente que mitigue el daño operativo y/o financiero.

    • Garantizar una comunicación exhaustiva de los eventos relacionados con incidentes a todo el personal relevante.
  4. Participar en el trabajo colaborativo (consulte los controles 27002 y 5.5 de ISO 5.6).

  5. Registre todas las actividades basadas en gestión de incidentes.

  6. Ser responsable del manejo de la evidencia relacionada con el incidente (ver Control ISO 27002 5.28).

  7. Lleve a cabo un análisis exhaustivo de la causa raíz para minimizar el riesgo de que el incidente vuelva a ocurrir, incluidas las modificaciones sugeridas a cualquier proceso.

Las actividades de presentación de informes deben centrarse en cuatro áreas clave:

  1. Acciones que deben tomarse una vez que ocurre un evento de seguridad de la información.

  2. Formularios de incidentes que registran información a lo largo de un incidente.

  3. Procesos de retroalimentación de extremo a extremo a todo el personal relevante.

  4. Informes de incidentes que detallan lo que ocurrió una vez que se resolvió el incidente.

Compatible con controles ISO 27002

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

ISO 27701 Cláusula 6.13.1.5 (Respuesta a Incidentes de Seguridad de la Información) y Artículo 34 del RGPD

En esta sección hablamos de los artículos 34 (2) y 34 (1) del RGPD.

Las organizaciones deben garantizar que los incidentes de seguridad de la información privada sean tratados por un equipo técnico dedicado con las habilidades y recursos para lograr una resolución rápida (consulte ISO 27002 Control 5.24).

Las organizaciones deberían:

  1. Contener cualquier amenaza relacionada con la privacidad que surja del problema original.

  2. Recopilar un conjunto de pruebas a lo largo del proceso de resolución.

  3. Incluir escalamiento, actividades BUDR y planificación de continuidad en cualquier esfuerzo de resolución (ver Controles ISO 27002 5.29 y 5.30).

  4. Registre toda la actividad relacionada con el incidente.

  5. Asegúrese de que el personal opere según la “necesidad de saber” cuando se trate de incidentes de información de privacidad.

  6. Sea continuamente consciente de sus responsabilidades hacia sus clientes y organizaciones externas al comunicar incidentes de información de privacidad y violaciones de datos.

  7. Cerrar incidentes a un conjunto rígido de criterios de resolución.

  8. Realizar análisis forenses (ver Control ISO 27002 5.28), cuando sea necesario.

  9. Buscar establecer la causa subyacente de un incidente, una vez resuelto (ver Control ISO 27002 5.27).

  10. Tome medidas correctivas sobre cualquier proceso, control, política y procedimiento asociado para reforzar la protección de la privacidad de la organización una vez que se haya resuelto un incidente.

Compatible con controles ISO 27002

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Artículo del RGPDCláusula ISO 27701Controles ISO 27002
Artículos 34 (1) a 34 (4) del RGPD UEISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
Artículos 34 (2) y 34 (1) del RGPD UEISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Cómo ayuda ISMS.online

Gracias a la guía integrada y a nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', ISMS.online hace que demostrar el cumplimiento del RGPD sea muy sencillo. También tendrá a su disposición una gama de potentes funciones que le permitirán ahorrar tiempo.

Con nuestra plataforma intuitiva, puede lograr múltiples objetivos de privacidad y seguridad de la información al mapear su trabajo a través de múltiples estándares y marcos.

Si necesita ayuda o asesoramiento durante su camino hacia el RGPD, podemos poner a su disposición nuestro equipo de expertos internos o recomendarle un socio de confianza que pueda ayudarle.

Descubre más por reservar una demostración.

He logrado ISO 27001 de la manera más difícil, así que realmente valoro cuánto tiempo nos ahorró lograr la certificación ISO 27001.

Carlos Vaughan
Líder de seguridad de información, MetCloud

Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más