TRATAMIENTO DATOS PERSONALES
El Reglamento General de Protección de Datos (RGPD) impone a los responsables de un tratamiento de datos personales (sociedades y/o autónomos) la obligación de establecer las medidas de seguridad apropiadas para garantizar el nivel de seguridad adecuado.
Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.
La brecha de confidencialidad se produce cuando ocurre un acceso no autorizado o con un propósito no legítimo a la plataforma de almacenamiento de datos (ejemplo: móvil) o cualquier parte de la misma que pueda dejar expuestos datos personales.
OBLIGACIÓN DE NOTIFICAR BRECHAS EN EL ACCESO A DATOS PERSONALES
El artículo 33 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
De hecho, notificar en tiempo y forma es una evidencia de la diligencia de la organización, mientas que no cumplir con esa obligación si está tipificado como infracción. No cumplir con la obligación de notificar en tiempo y formar de una brecha de seguridad se considera, como decíamos, una infracción muy grave y por tanto puede suponer la imposición de sanciones en forma de multa administrativa.
Esta multa puede ser de hasta 10 millones de euros o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Optándose siempre por la mayor cuantía de las dos.