Contact
Notificació a l’APDCAT (art. 33 RGPD)
Si es produeix una violació de seguretat de les dades, les entitats responsables de tractament incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades (APDCAT) l’han de notificar a l’Autoritat sense dilació indeguda i, en tot cas, en un termini màxim de 72 hores des que n’han tingut constància. Això, tret que sigui improbable que la violació de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques. Si no es notifica en el termini de 72 hores, cal indicar els motius de la dilació (art.33 RGPD).
La notificació de la violació de seguretat a l’Autoritat ha d’incloure el contingut mínim següent:
- Descripció de la naturalesa de la violació. Si és possible, també cal incloure-hi les categories i el nombre aproximat d'afectats, així com les categories i el nombre aproximat de registres de dades personals afectats.
- Nom i dades de contacte del delegat de protecció de dades o d'un altre punt de contacte.
- Descripció de les possibles conseqüències.
- Descripció de les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.
Si no es poden facilitar tots els detalls sobre l’incident de seguretat en el moment de la notificació inicial a l’APDCAT, es pot fer de manera gradual, tan aviat com es disposi de la informació.
La notificació de la violació de seguretat s’ha de presentar mitjançant el formulari de notificació. Un cop emplenat i signat electrònicament, s'ha de trametre (juntament amb la documentació que correspongui, si escau) d’acord amb el que s’indica a continuació:
- Les entitats que estan donades d'alta a la plataforma EACAT han de presentar el formulari mitjançant el tràmit “Notificacions de violacions de seguretat” d'aquesta plataforma.
- La resta d'entitats l'han de presentar a través de la plataforma e-TRAM, mitjançant el tràmit "Presentació d'escrits dirigits a l'Autoritat Catalana de Protecció de Dades".
- Els subjectes que no estan obligats a relacionar-se electrònicament amb les administracions públiques també ho poden fer per qualsevol dels altres mitjans a què es refereix l’article 16.4 de la Llei 30/2015, de l’1 d’octubre, de procediment administratiu comú de les administracions públiques.
En posteriors comunicacions amb informació complementària -en què caldria utilitzar el mateix formulari -, cal fer constar el número assignat a la primera notificació de violació de seguretat.
Comunicació a les persones afectades (art. 34 RGPD)
Cal recordar que, a banda de notificar la violació de seguretat a l’APDCAT, el responsable també l’ha de comunicar sense dilació indeguda a les persones afectades (titulars de les dades compromeses per la violació), si és probable que comporti un risc alt per als seus drets i llibertats. Això, tret que:
- El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
- El responsable hagi aplicat mesures posteriors que garanteixen que ja no es pot concretar el risc alt.
- Suposi un esforç desproporcionat; en aquest cas, es pot optar per una comunicació pública o una mesura equivalent.
Què pot passar, si no es notifica una violació de seguretat de les dades?
Si una violació de seguretat no es notifica a l’APDCAT, es pot incórrer en la vulneració d’una obligació prevista a l’RGPD, tret que sigui improbable que la violació comporti un risc per als drets i les llibertats de les persones físiques. El fet de notificar la violació més enllà de les 72 hores, si no hi ha raons que ho justifiquin, també pot constituir una vulneració de l’RGPD. Aquestes vulneracions poden comportar que s’exerceixin poders d’investigació i correctius, inclosa la imposició d’una multa, si escau.
Documents relacionats