La notificación de la mencionada brecha debe realizarse en un plazo máximo de 72 horas desde que se tiene constancia de la misma, salvo que se pueda demostrar que ésta no supone un riesgo para los interesados. La notificación debe incluir información sobre la naturaleza, las causas, las consecuencias y las medidas adoptadas o previstas para solucionar la brecha y mitigar sus efectos . La notificación debe realizarse mediante el formulario electrónico habilitado por la autoridad de control competente.

Además de notificar a la autoridad de control, el responsable del tratamiento tiene la obligación de comunicar la brecha a los interesados cuando ésta suponga un alto riesgo para sus derechos y libertades, salvo que se den algunas excepciones previstas en el RGPD. La comunicación debe realizarse sin dilación y de forma clara y sencilla, explicando la naturaleza de la brecha y las recomendaciones para protegerse de sus posibles efectos negativos.

La notificación y la comunicación de las brechas de seguridad tienen como finalidad proteger los derechos y libertades de los interesados, garantizar la seguridad jurídica de los responsables y crear un entorno más resiliente basado en el conocimiento de las vulnerabilidades en los tratamientos.

La entrada La importancia de notificar una brecha de seguridad a la autoridad de control se publicó primero en Adaptación RGPD.

La información tiene que ser clara y de fácil entendimiento. El RGPD y nuestra LOPDGDD pretenden garantizar y proteger los derechos de los particulares cuando facilitan sus datos personales. Las cláusulas tienen que informar al menos, sobre los siguientes puntos, tal y como lo deja indicado el artículo 11 LOPDPGDD:

• Quién es el responsable de los datos.
• La finalidad del tratamiento.
• Facilitar el medio para el ejercicio de los derechos de protección de datos.

Esta sería la información básica. Además de lo anterior, las cláusulas informativas tienen que indicar una dirección electrónica u otro medio que permita al interesado acceder de una forma sencilla e inmediata al resto de información.

En ocasiones, los datos personales que trata el responsable no los facilita directamente el interesado, sino que les son cedidos por otros. En este caso, la cláusula informativa deberá indicar, además, las categorías de datos y las fuentes de las que se obtuvieron.

IMPORTANTE

Las empresas están recibiendo cuantiosas sanciones por no informar debidamente a los particulares.

La entrada Las cláusulas informativas y el deber de informar se publicó primero en Adaptación RGPD.

En conclusión, se destaca en el informe que en general, los documentos que se detallan son demasiado extensos y no facilitan al usuario medio que finalice su lectura, además, las bases que legitiman el tratamiento en ocasiones no son adecuadas, ya que se encuadran en un interés legítimo cuando en realidad no es así.

En el informe podemos encontrar una serie de recomendaciones para cumplir debidamente con el principio de transparencia, así entre otros aspectos, se indican pautas para facilitar la información sobre las finalidades del tratamiento. Casi todas las políticas de privacidad analizadas son muy extensas en su redacción y no permiten una fácil lectura. La AEPD, recomienda agrupar las finalidades por categorías, para ello da una serie de ejemplos (prestación del servicio, comunicaciones comerciales, cumplimiento de obligaciones legales entre otras). Habría que evitar una enumeración demasiado extensa. Al final del informe, con carácter general, se dan indicaciones para la presentación de la información.

IMPORTANTE

Se recomienda solicitar un consentimiento para cada una de los grupos de finalidades que se sustenten en esa base legítima.

La entrada Informe del estudio y análisis sobre políticas de privacidad en Internet se publicó primero en Adaptación RGPD.