Test: RGPD — Seguridad del tratamiento y evaluación de impacto
Seguridad del tratamiento (art. 32), notificación de violaciones de seguridad a la autoridad (art. 33) y al interesado (art. 34), evaluación de impacto (art. 35) y consulta previa (art. 36) del RGPD.
Según el art. 32.1 del RGPD, el responsable y el encargado del tratamiento deben aplicar medidas técnicas y organizativas apropiadas para garantizar:
📖 Art. 32.1 RGPD
Explicación: El art. 32.1 exige aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes, la naturaleza, el alcance, el contexto y los fines del tratamiento.
El art. 32.1 del RGPD menciona, entre las medidas de seguridad, las siguientes:
📖 Art. 32.1 RGPD
Explicación: El art. 32.1 cita como medidas, entre otras, la seudonimización y el cifrado de los datos, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes, y la capacidad de restaurar la disponibilidad y el acceso tras un incidente.
Conforme al art. 33.1 del RGPD, en caso de violación de la seguridad de los datos, el responsable la notificará a la autoridad de control:
📖 Art. 33.1 RGPD
Explicación: El art. 33.1 obliga a notificar la violación de la seguridad a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que el responsable haya tenido constancia de ella.
Según el art. 33.1 del RGPD, si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas:
📖 Art. 33.1 RGPD
Explicación: El art. 33.1 dispone que, si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
De acuerdo con el art. 33.1 del RGPD, la notificación de la violación a la autoridad NO será necesaria cuando:
📖 Art. 33.1 RGPD
Explicación: El art. 33.1 exime de notificación cuando sea improbable que la violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Según el art. 33.5 del RGPD, el responsable del tratamiento, respecto de cualquier violación de la seguridad:
📖 Art. 33.5 RGPD
Explicación: El art. 33.5 obliga al responsable a documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, lo que permitirá a la autoridad verificar el cumplimiento.
Conforme al art. 34.1 del RGPD, el responsable comunicará la violación de la seguridad al interesado cuando:
📖 Art. 34.1 RGPD
Explicación: El art. 34.1 exige que, cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable la comunique al interesado sin dilación indebida.
Según el art. 34.3 del RGPD, NO será necesaria la comunicación al interesado si, entre otros supuestos:
📖 Art. 34.3 RGPD
Explicación: El art. 34.3 exime de la comunicación al interesado si el responsable había adoptado medidas de protección apropiadas (como el cifrado) que hagan ininteligibles los datos, si ha tomado medidas que garanticen que ya no exista el alto riesgo, o si supone un esfuerzo desproporcionado (en cuyo caso se hará una comunicación pública).
De acuerdo con el art. 35.1 del RGPD, la evaluación de impacto relativa a la protección de datos debe realizarse:
📖 Art. 35.1 RGPD
Explicación: El art. 35.1 obliga al responsable a realizar, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades.
Según el art. 35.3 del RGPD, la evaluación de impacto se requerirá, en particular, en caso de:
📖 Art. 35.3 RGPD
Explicación: El art. 35.3 exige la evaluación de impacto, en particular, en la evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (incluida la elaboración de perfiles), el tratamiento a gran escala de categorías especiales de datos o de condenas, y la observación sistemática a gran escala de una zona de acceso público.
Conforme al art. 35.2 del RGPD, al realizar la evaluación de impacto, el responsable:
📖 Art. 35.2 RGPD
Explicación: El art. 35.2 establece que el responsable recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
Según el art. 36.1 del RGPD, el responsable consultará a la autoridad de control antes del tratamiento cuando:
📖 Art. 36.1 RGPD
Explicación: El art. 36.1 obliga al responsable a consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.