¿Cómo se computa el plazo de 72 horas para notificar una brecha de seguridad?
El artículo 33.1 del RGPD establece que
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El RGPD no dedica precepto alguno al cómputo de plazos, ni contiene remisión a otras normas para su interpretación (como si hace, por ejemplo, con lo que debe entenderse por micro empresas y pequeñas y medianas empresas) por lo que surge la pregunta de cómo deben computarse esas 72 horas: ¿son horas “hábiles” o debemos contar 72 horas “a reloj corrido”? La cuestión, por razones obvias en las que no entraré, no es moco de pavo.
Si uno consulta la Guía para la gestión y notificación de brechas de seguridad” de la AEPD tampoco encuentra respuesta a la pregunta, porque no hay referencia alguna al respecto. (más…)