• Imprimeix

Notificació de violacions de seguretat

Si es produeix una violació de seguretat de les dades, les entitats responsables de tractaments incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades han de notificar-la sense dilació indeguda i, si és possible, en un termini màxim de 72 hores després que n’hagin tingut constància. Això, tret que sigui improbable que la violació de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques (art. 33 RGPD). 

El responsable ha de documentar totes les violacions de seguretat, tant si és preceptiu notificar-les a l’APDCAT com si no. En concret, ha de fer constar tota la informació relativa als fets, els efectes i les mesures correctores adoptades. Aquesta documentació ha d’estar a disposició de l’APDCAT (art. 33.5 RGPD). 

La notificació de la violació de seguretat s’ha de presentar mitjançant el formulari de notificació. Un cop emplenat i signat electrònicament, el formulari s'ha de trametre (juntament amb la documentació que correspongui, si és el cas) d’acord amb el que s’indica a continuació: 

-    Les entitats que estan donades d'alta a la plataforma EACAT han de presentar el formulari mitjançant el tràmit  Notificacions de violacions de seguretat d'aquesta plataforma. 

-    La resta d'entitats l'han de presentar a través d’aquest tràmit de la seu electrònica de l’Autoritat.

-    Els subjectes que no estan obligats a relacionar-se electrònicament amb les administracions públiques, també ho poden fer mitjançant qualsevol dels altres mitjans a què es refereix l’article 16.4 de la Llei 30/2015, de l’1 d’octubre, de procediment administratiu comú de les administracions públiques.   

 

Comunicació als afectats (art. 34 RGPD)

A banda de la notificació a l’APDCAT, si és probable que la violació de seguretat de les dades comporti un risc alt per als drets i llibertats de les persones físiques, el responsable l’ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill, tret que:

  • El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
  • El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la possibilitat que es concreti el risc alt.
  • Suposi un esforç desproporcionat; en aquest cas, es pot optar per una comunicació pública o una mesura equivalent.

 

Contingut mínim de la notificació de violació de seguretat de les dades  

El contingut mínim de la notificació ve determinat per l’article 33 de l’RGPD, que exigeix incloure-hi el següent: 

  1. Descripció de la naturalesa de la violació de la seguretat de les dades. Si és possible, també cal incloure-hi les categories i el nombre aproximat d'afectats, així com les categories i el nombre aproximat de registres de dades personals afectats. 
  2. Nom i dades de contacte del delegat de protecció de dades o d'un altre punt de contacte. 
  3. Descripció de les possibles conseqüències. 
  4. Descripció de les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.  

Si no és possible facilitar simultàniament tota la informació a l’APDCAT, es pot fer de manera gradual, sense dilació indeguda. En aquestes comunicacions posteriors -per a les quals cal utilitzar el mateix formulari- cal fer constar el número assignat a la primera notificació de violació de seguretat.

 

Què pot passar, si no es notifica una violació de seguretat de les dades?

Si una violació de seguretat no es notifica a l’APDCAT, es pot incórrer en la vulneració d’una obligació prevista a l’RGPD, tret que sigui improbable que la violació comporti un risc per als drets i les llibertats de les persones físiques. També pot constituir una vulneració de l’RGPD el fet de notificar la violació de seguretat de dades més enllà de les 72 hores, si no hi ha raons que ho justifiquin. Aquestes vulneracions poden comportar que s’exerceixin poders d’investigació i correctius, inclosa la imposició d’una multa, si escau. Per contra, no hi ha cap penalització si es notifica a l’APDCAT un incident de seguretat que no arriba a tenir la consideració de violació de seguretat de dades personals de notificació obligada.

 

Diagrama de flux

A continuació, s’inclou un diagrama de flux sobre les notificacions de violacions de seguretat de dades.

 

Flux NVS

Més informació

El Grup de treball de l’article 29 ha elaborat el document de treball Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01” (Directrius sobre la notificació de violació de dades personals segons el Reglament 2016/679 WP250rev.01).  En aquest document, s’analitzen de manera detallada els diversos aspectes a tenir en compte al voltant de les violacions de seguretat de les dades i a l’hora de determinar si és procedent notificar-la a l’autoritat de control i a les persones afectades; el document inclou diversos exemples, que poden resultar de molta utilitat per al responsable del tractament  a l’hora de decidir sobre aquesta notificació. Es pot accedir a una traducció en català d’aquest document, aquí .