Incident: leak de 4.300 emails de clientes (sin contraseñas, sin datos sensibles). ¿Cuándo cumple Art. 34 "alto riesgo para los derechos"? El equipo legal interno dice notificar siempre, yo creo que solo si hay riesgo real. AEPD ha matizado en su última guía.
4 respuestas
Email solo, sin enriquecimiento: bajo riesgo en mi opinión. AEPD acepta no notificar si el risk assessment está bien documentado. Notifica a la autoridad (Art. 33) siempre, eso sí.
¿Cómo documentáis el risk assessment? Tengo plantilla pero las autoridades miran cada vez con más lupa.
Plantilla con: criterios EDPB Guidelines 9/2022, categorías especiales, volumen, identificabilidad, impacto potencial. Firmado por DPO + Legal + responsable del tratamiento.
Gracias. Voy con esa estructura. Me ahorraré meses de mailing de PR innecesario.
Inicia sesión para responder y votar.