Articulo 30 Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penal
Artículo 30. Notificación a la autoridad de control de una violación de la seguridad de los datos personales
1. Los Estados miembros dispondrán que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida, y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que la violación de la seguridad de los datos personales constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no se hace en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación.
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
3. La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.
4. Si no fuera posible, o en la medida en que no sea posible, facilitar la información simultáneamente, se podrá facilitar la información por etapas sin dilación indebida.
5. Los Estados miembros dispondrán que el responsable del tratamiento documente cualquier violación de la seguridad de los datos personales a que se hace referencia en el apartado 1, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas. Dicha documentación deberá permitir a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
6. Los Estados miembros dispondrán que cuando la violación de la seguridad de los datos personales tenga que ver con datos que hayan sido transmitidos por el responsable del tratamiento o al responsable del tratamiento de otro Estado miembro, la información a que se refiere el apartado 3 se comunique al responsable del tratamiento de este Estado miembro sin dilación indebida.