En el caso de que una empresa haya sufrido alguna de las diferentes tipologías de brechas de seguridad que indicábamos en el boletín pasado, tales como; brechas de confidencialidad, brechas de integridad y/o brechas de disponibilidad, ha de cumplir con las siguientes obligaciones recogidas en el RGPD. Es el responsable el que tiene que llevarlas a cabo, salvo que, en el contrato de acceso a datos se haya dispuesto que lo gestione el encargado de tratamiento.
1º Se notificará a la autoridad competente, en el plazo de 72 horas desde su conocimiento, siempre y cuando suponga un riesgo para los derechos y libertades de los afectados.
2º Si no se notifica en el plazo de 72 horas, habría que indicar los motivos de la dilación. En el caso de que no pueda facilitar la información simultáneamente, ésta se entregará de forma gradual sin dilación indebida.
3º La notificación ha de tener un contenido mínimo, tal y como indica el art. 33.3 del RGPD;
Además de todas esas acciones, el RGPD hace referencia a la obligación que tiene el responsable de documentar cualquier brecha ocurrida en su empresa aunque no sea preciso notificarla a la autoridad competente.
IMPORTANTE
El encargado de tratamiento está obligado a comunicar al responsable cualquier brecha de seguridad de la que tenga conocimiento.
