Articulo 92 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión
Artículo 92. Notificación al Supervisor Europeo de Protección de Datos de una violación de la seguridad de datos personales
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
2. La notificación del apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales operativos afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
3. Si no fuera posible, o en la medida en que no sea posible, facilitar simultáneamente la información mencionada en el apartado 2, se podrá facilitar la información por etapas sin otra dilación indebida.
4. El responsable del tratamiento documentará cualquier violación de la seguridad de datos personales a que se hace referencia en el apartado 1, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.
5. Cuando la violación de los datos personales operativos tenga que ver con datos que hayan sido transmitidos por o a las autoridades competentes, el responsable del tratamiento comunicará la información a que se refiere el apartado 2 a las autoridades competentes de que se trate sin dilación indebida.