Contacte
Una violació de seguretat de les dades és qualsevol incident de seguretat que condueix a la destrucció, pèrdua, alteració, accés o revelació no autoritzada de dades personals, tant si és de persones treballadores com de les persones a qui prestes serveis, com ara ciutadania, pacients, alumnat, etc. Si ets una entitat responsable del tractament i pateixes una violació de seguretat, has de notificar-la a l’APDCAT sense dilació indeguda i, en tot cas, en un termini màxim de 72 hores des que n’hagis tingut constància. Això, tret que sigui improbable que la violació constitueixi un risc (dany) per als drets i les llibertats de les persones titulars de les dades compromeses.
Quan s’ha de notificar?
Es considera que es té constància d’una violació de seguretat quan hi ha una certesa que s’ha produït i se’n té un coneixement suficient de la naturalesa i l’abast. La mera sospita que hi ha hagut una fallada o la constatació que ha succeït algun tipus d’incident sense que se’n coneguin mínimament les circumstàncies no ha de donar lloc a la notificació. En la majoria dels casos, en aquestes condicions no es pot determinar fins a quin punt hi pot haver un risc per als drets i les llibertats de les persones interessades.
No obstant això, en casos de violacions que, per les seves característiques, puguin tenir un gran impacte, sí que és recomanable contactar amb l’APDCAT tan aviat com hi hagi evidències que s’ha produït una situació irregular respecte de la seguretat de les dades, independentment que aquests primers contactes es completin després amb una notificació formal dins del termini legalment previst.
Hi poden haver casos en què la notificació d’algun dels aspectes requerits no es pugui fer dins les 72 hores, per exemple, a causa de la complexitat a l’hora de determinar-ne completament l’abast. En aquests casos, la notificació d’aquests aspectes es pot fer posteriorment, acompanyada d’una explicació dels motius que han ocasionat el retard.
Quin és el contingut de la notificació d’una violació de seguretat a l’autoritat de control?
La notificació ha d’incloure un contingut mínim que el mateix RGPD estableix i que inclou elements com la naturalesa de la violació, les categories de dades i de persones afectades, les mesures adoptades per l’entitat responsable del tractament per solucionar la violació i, si escau, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades. La informació també es pot proporcionar de manera esglaonada, quan no es pugui fer al mateix moment de la notificació.
Quan s’ha de documentar i com?
Amb independència de la notificació a les autoritats de control, les entitats responsables de tractar dades també han de documentar totes les violacions de seguretat. Així, han de dur a terme un registre intern sobre els incidents de seguretat que pateixin.
Quan s’ha de comunicar a les persones afectades?
A més de notificar la violació de seguretat a l’APDCAT quan sigui probable que la violació comporti un alt risc (danys importants o greus) per als drets de les persones interessades, l’entitat responsable que tracta les dades també l’ha de comunicar sense dilació indeguda a les persones afectades, amb un llenguatge clar i senzill.
Quan és probable que una violació de seguretat comporti un risc alt per als drets de les persones interessades?
Existeix alt risc quan sigui probable que la violació de seguretat ocasioni danys importants a les persones interessades. Això pot succeir, per exemple, si es revela informació confidencial, com contrasenyes, la participació en determinades activitats; si es difonen dades confidencials de forma massiva o si es poden produir perjudicis econòmics per a les persones afectades.
L’objectiu d’aquesta comunicació és permetre que les persones afectades puguin prendre mesures per protegir-se de les conseqüències de la violació de seguretat. Es pretén que la persona afectada pugui reaccionar tan aviat com sigui possible. Per això, caldrà incloure les recomanacions sobre les mesures que poden prendre les persones interessades per fer front a les conseqüències de la violació.
No caldrà dur a terme aquesta comunicació a les persones afectades si:
- L’entitat responsable ha adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
- L’entitat responsable ha aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l’alt risc.
- Suposa un esforç desproporcionat. En aquest cas, es pot optar per una comunicació pública o una mesura equivalent.
Quin és el paper de les entitats encarregades del tractament?
Si l’entitat responsable utilitza un encarregat del tractament i aquest encarregat pateix una violació de seguretat, n’ha d’informar el responsable sense dilació indeguda, tan aviat com en tingui coneixement, per tal que l’entitat responsable pugui complir amb les seves obligacions de notificació. El contracte que regula l’encàrrec ha d’estipular que l’encarregat ha d’ajudar el responsable a garantir el compliment de les obligacions de notificació.
Documents relacionats