El 18 de junio pasado tuvo lugar nuestra jornada de formación mensual titulada “RGPD: un año después” que presentó Carles San José Amat, Cap d’Inspecció de la Autoritat Catalana de Protecció de Dades (ACPD). En su presentación el ponente realizó una revisión de la regulación establecida en el RGPD sobre esta materia, que principalmente se encuentra en sus artículos 34 y 35.

La Jornada fue patrocinada por Deloitte, Auren, S21sec, Víntegris, Andornet, OptimumTIC, ITACA i amb el suport institucional de Coettc, COEINF, Consejo General de Economistas, IAITG, ISMS, itSMF, UAB, ATI, Telecos.cat, CCJCC, CESICAT , BQB, Andorra Telecom i l'Institut Municipal d'Informàtica Hàbitat Urbà - Ajuntament de Barcelona.

Así, repasó los supuestos en los que resulta obligatorio notificar las violaciones de seguridad a la autoridad competente, así como aquellos casos en los que el RGPD dispone que deba comunicarse a las personas interesadas a las que pueda afectar esta violación de seguridad.

En este sentido, se resaltó la necesidad de que el responsable analice los riesgos que la violación de seguridad puede suponer para los derechos y libertades de las personas afectadas, de forma que solo si es improbable que se den el responsable puede omitir su obligación de notificación a la autoridad.

Cuando además el riesgo se estima que es alto, se debe comunicar a los afectados. Destacó el papel asumido por la ACPD de acompañamiento a las organizaciones, de forma que la Autoritat se centra principalmente en proporcionar recomendaciones a los responsables del tratamiento, obligados a cumplir con esta medida, que deriva del principio de responsabilidad proactiva del RGPD.

A esto se añade, de acuerdo con este principio, la necesidad de documentar y registrar estas violaciones, así como las valoraciones realizadas. Por último, el ponente ofreció algunas estadísticas interesantes como la tipología de violaciones notificadas, de responsables notificantes, así como de colectivos afectados.

Así, por ejemplo, la mitad de las violaciones notificadas respondió a errores accidentales, como el envío de correos electrónicos a terceros ajenos a la comunicación.

Al final de la ponencia se estableció un interesante debate de los distintos supuestos en que es necesario comunicar el incidente.

Barcelona 22 de junio 2019

PDF Nota de Prensa

PDF Presentación