La Agencia Española de Protección de datos ha publicado en su página web una infografía sobre la comunicación a los afectados de una brecha digital, tal y como dispone el art. 34 del RGPD. En este documento de forma muy sencilla se van dando respuesta a las preguntas siguientes:
- ¿Para qué? Para proteger a las personas ante las consecuencias de una brecha de datos personales.
- ¿Cuándo? Cuando se produzca un alto riesgo para los derechos y libertades de las personas.
- ¿A quién? A aquellas personas físicas que se encuentren en alto riesgo debido a la brecha.
- ¿Plazo? Sin dilación indebida. Antes de que las consecuencias puedan afectar a las personas y con tiempo para que se protejan.
- ¿Cómo? Con una comunicación dirigida a cada uno de los afectados. Por ejemplo, mediante un email, SMS, mensajería instantánea o correo postal. En el caso de que suponga un esfuerzo desproporcionado o se desconoce con precisión quien ha podido verse afectado, se puede realizar un comunicado público.
- En la comunicación se deben evitar expresiones que distorsionen el mensaje, por ejemplo, “no corre riesgo”. Además, no se deben omitir detalles relevantes para que las personas puedan valorar el riesgo de forma adecuada.
No es una comunicación debida a los afectados cuando se comunica exclusivamente a la empresa cliente o un comunicado público injustificado sin contenido mínimo.