Esta misma semana os hablábamos de una de las novedades del RGPD, la notificación de violaciones de seguridad a las autoridades de control competentes, por parte tanto de los responsables del tratamiento como de los encargados.
La norma europea no se limita a exigir lo anteriormente mencionado, sino que en su artículo 34 establece la obligación del responsable del tratamiento de comunicar las violaciones de seguridad de los datos a los propios afectados/ interesados, cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.
La comunicación dirigida al interesado deberá realizarse mediante un lenguaje claro y sencillo, y deberá contener como mínimo:
1. La naturaleza de la violación de la seguridad.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales.
Como excepción a esta obligación, el propio artículo 34, en su apartado 3, establece que no será necesaria la comunicación al afectado, siempre y cuando se den alguna de las siguientes condiciones:
1. Que el responsable haya adoptado aquellas medidas técnicas y organizativas apropiadas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado y además los hubiera aplicado a los datos afectados por la violación de seguridad.
2. Que el responsable del tratamiento haya tomado las medidas ulteriores que garanticen que ya no exista la probabilidad de un alto riesgo para los derechos y libertades del interesado.
3. Que suponga un esfuerzo desproporcionado.
En este último caso, se da la opción de establecer una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
En todo caso, cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones antes mencionadas.