No quiero dejar pasar esta ocasión para abordar uno de mis “caballos de batalla” más importantes cuando trabajamos con los encargados de tratamiento de nuestros clientes. Me refiero al apartado primero del artículo 33 RGPD “Notificación de una violación de la seguridad de los datos personales a la autoridad de control”.
Cuando digo que es uno de mis “caballos de batalla” es debido a que es mucho más frecuente de lo deseado encontrar en los contratos que regulan la relación entre el responsable del tratamiento y su encargado, dentro de la cláusula regulatoria de las violaciones o brechas de seguridad y su notificación, la potestad a los encargados de tratamiento de la comunicación de sus violaciones de seguridad a los responsables del tratamiento, según entiendan los primeros de la existencia, o no, de riesgo para los derechos y libertades de las personas físicas implicadas en dicha violación.
El referido apartado 1. del artículo 33 dice: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación”.
La correcta lectura, según el humilde criterio de este autor, deja claro que el único que tiene capacidad de notificar o no (como decía el clásico) a la autoridad de control una brecha de seguridad es el responsable del tratamiento. Y esto será bajo su responsabilidad y después de una profunda reflexión y valoración del riesgo para los derechos y libertades de las personas físicas.
Si el legislador hubiera querido que esta capacidad recayera, también, en los encargados de tratamiento, estos hubieran sido incluidos en la redacción de dicho apartado.
No por escueta deja de ser importante, según mi criterio, poner en común con todos los lectores esta interpretación de la norma. La correcta incorporación del “cuando” y “como” comunicar una violación de seguridad en los contratos de acceso a datos por terceros puede variar en mucho el devenir de una brecha o violación de seguridad, y por lo tanto, de las responsabilidades que deberán asumir aquellos que estén directa o indirectamente relacionados con la misma.
Artículo de Manuel del Palacio Anuarbe, miembro del Comité Técnico de Protección de Datos de la World Compliance Association y director general en Persevera S.L.U.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación