El deber de notificar y el derecho a la no autoinculpación en la protección de datos personales

Resumen

El RGPD establece para todos los responsables y encargados de tratamientos de datos personales la obligación de notificar a la autoridad de protección de datos las violaciones de la seguridad de los datos que están tratando, obligación cuyo incumplimiento puede entrañar una sanción, que se instaura como medida coactiva. En los casos en que la brecha de la seguridad de los datos esté relacionada con un incumplimiento de otras obligaciones que el RGPD pone a cargo del mismo responsable o encargado, la notificación se puede convertir en una declaración autoinculpatoria obtenida bajo coacción. Por ello analizamos en este artículo la posibilidad de invocar la notificación u otras evidencias de incumplimientos que se han conocido por medio de ella, en calidad de prueba de cargo en un procedimiento sancionador seguido contra el responsable.

The GDPR stablishes for all the controllers and processors of personal data, the obligation to notify to the supervisory authority the breaches occurred to the personal data that they process. The infringement of this obligation shall be subject to administrative penalties, that are thus set as a coercive measure. If the personal data breach is related to an infringement of other obligations imposed by the GDPR to the same controller or processor, then the notification  may become a self-incriminating statement made under coercion. For those reasons, in this article we analyse the possibility of bringing the said notification or other evidence based on it, as incriminatory evidence against the subject on a proceeding for an offence under the GDPR.