Skip to content

¿Cuáles son los principios fundamentales del GDPR y cuál es el plazo de notificación de brechas?

Respuesta breve

El artículo 5 del GDPR establece siete principios: licitud/lealtad/transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. Ante una brecha de datos personales, el responsable del tratamiento debe notificar a la autoridad de control competente sin dilación indebida y, cuando sea posible, en un plazo de 72 horas tras tener conocimiento (artículo 33). Si la brecha probablemente entrañe un alto riesgo para las personas, el responsable también debe notificar a los interesados afectados sin dilación indebida (artículo 34).

El Reglamento General de Protección de Datos rige cómo las organizaciones tratan los datos personales de las personas en la UE. Los entrevistadores hacen esta pregunta para comprobar si sabes conectar los principios jurídicos con los deberes operativos — no solo recitar palabras de moda.

Los siete principios (artículo 5)

El GDPR se basa en siete principios que toda actividad de tratamiento debe cumplir:

  • Licitud, lealtad, transparencia — necesitas una base jurídica válida y debes ser transparente al respecto.
  • Limitación de la finalidad — recopilar datos para fines determinados y explícitos, no «por si acaso».
  • Minimización de datos — solo lo que sea adecuado y pertinente.
  • Exactitud — mantenerlos correctos y actualizados.
  • Limitación del plazo de conservación — no conservarlos más tiempo del necesario.
  • Integridad y confidencialidad — protegerlos con una seguridad adecuada.
  • Responsabilidad proactiva — poder demostrar el cumplimiento de todo lo anterior.

Notificación de brechas

Una brecha de datos personales es una violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita, la comunicación no autorizada de datos personales o el acceso no autorizado a estos.

  • Al regulador (artículo 33): el responsable del tratamiento notifica a la autoridad de control competente sin dilación indebida y, cuando sea posible, en un plazo de 72 horas tras tener conocimiento. Si es improbable que entrañe un riesgo para las personas, la notificación puede omitirse.
  • A los interesados (artículo 34): si la brecha probablemente entrañe un alto riesgo para los derechos y libertades de las personas, debe informárseles sin dilación indebida, en lenguaje claro.

Por qué importa

Las buenas respuestas vinculan los principios (sobre todo la responsabilidad proactiva) con la evidencia: registros de actividades de tratamiento, EIPD y un manual de respuesta a brechas probado. Decir «72 horas» es lo mínimo; explicar cuándo empieza a correr el plazo y el umbral de alto riesgo para notificar a las personas es lo que demuestra una verdadera soltura.

Posibles preguntas de seguimiento

  • ¿Cuándo empieza a correr el plazo de 72 horas y qué pasa si aún no se tienen todos los hechos?
  • ¿Cuándo se está exento de notificar a los interesados según el artículo 34?
  • ¿Cuál es la diferencia entre un responsable y un encargado del tratamiento en cuanto a los deberes de notificación?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.