Notificación de violaciones de seguridad

Si se produce una violación de seguridad de los datos, las entidades responsables de tratamientos incluidos en el ámbito de actuación de la Autoridad Catalana de Protección de Datos notificarán sin dilación indebida y, si es posible, en un plazo máximo de 72 horas después de que hayan tenido constancia del incidente, a menos que sea improbable que la violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas (art. 33 RGPD).

El responsable debe documentar todas las violaciones de seguridad, tanto si es preceptivo notificarlas a la APDCAT como si no lo es. En concreto, debe hacer constar toda la información relativa a los hechos, los efectos y las medidas correctoras adoptadas. Esta documentación debe estar a disposición de la APDCAT (art. 33.5 RGPD).

La notificación de la violación de seguridad se presentará mediante el formulario de notificación (disponible versión en catalán). Una vez cumplimentado y firmado electrónicamente, el formulario debe enviarse (junto a la documentación que corresponda, en su caso) de acuerdo con lo que se indica a continuación:

- Las entidades que están dadas de alta en la plataforma EACAT deben presentar el formulario mediante el trámite Notificaciones de violaciones de seguridad de esta plataforma. 

- El resto de entidades deben presentar el formulario a través de este trámite de la sede electrónica de la Autoridad.

- Los sujetos que no están obligados a relacionarse electrónicamente con las administraciones públicas, también pueden presentar el formulario mediante cualquiera de los otros medios a los que se refiere el artículo 16.4 de la Ley 30/2015, del 1 de octubre, de procedimiento administrativo común de las administraciones públicas.

 

Comunicación a los afectados (art. 34 RGPD)

Aparte de la notificación a la APDCAT, si es probable que la violación de seguridad de los datos comporte un riesgo alto para los derechos y libertades de las personas físicas, el responsable lo debe comunicar a las personas afectadas sin dilaciones indebidas y en un lenguaje claro y sencillo, a no ser que:

  • El responsable haya adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
  • El responsable haya aplicado medidas posteriores que garantizan que ya no hay posibilidad de que se concrete un riesgo alto.
  • Suponga un esfuerzo desproporcionado; en este caso, se puede optar por una comunicación pública o una medida equivalente.

 

Contenido mínimo de la notificación de violación de seguridad de los datos

El contenido mínimo de la notificación viene determinado por el artículo 33 del RGPD, que exige incluir lo siguiente:

  1. Descripción de la naturaleza de la violación de la seguridad de los datos. Si es posible, también hay que incluir las categorías y el número aproximado de afectados, así como las categorías y el número aproximado de registros de datos personales afectados.
  2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto.
  3. Descripción de las posibles consecuencias.
  4. Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de la seguridad de los datos, incluidos, en su caso, las medidas adoptadas para mitigar sus posibles efectos negativos.

Si no es posible facilitar simultáneamente toda la información a la APDCAT, se puede hacer de manera gradual, sin dilación indebida. En estas comunicaciones posteriores -para las que hay que utilizar el mismo formulario-hay que hacer constar el número asignado a la primera notificación de violación de seguridad.

 

¿Qué puede pasar, si no se notifica una violación de seguridad de los datos?

Si una violación de seguridad no se notifica a la APDCAT, se puede incurrir en la vulneración de una obligación prevista en el RGPD, a no ser que sea improbable que la violación comporte un riesgo para los derechos y las libertades de las personas físicas. También puede constituir una vulneración del RGPD el hecho de notificar la violación de seguridad de datos más allá de las 72 horas, si no hay razones que lo justifiquen. Estas vulneraciones pueden comportar que se ejerzan poderes de investigación y correctivos, incluida la imposición de una multa, si procede. Por el contrario, no hay ninguna penalización si se notifica a la APDCAT un incidente de seguridad que no llega a tener la consideración de violación de seguridad de datos personales de notificación obligada.

 

Diagrama de flujo

A continuación, se incluye un diagrama de flujo sobre las notificaciones de violaciones de seguridad de datos.

 

Flux NVS

Más información

El Grupo de Trabajo del artículo 29 ha elaborado el documento de trabajo Guidelines donde Personal fecha breach notification under Regulation 2016/679 (wp250rev.01” (Directrices sobre la notificación de violación de datos personales según el Reglamento 2016/679 WP250rev.01). En este documento, se analizan de manera detallada los diversos aspectos a tener en cuenta en torno a las violaciones de seguridad de los datos y a la hora de determinar si es procedente notificarla a la autoridad de control y a las personas afectadas; el documento incluye varios ejemplos, que pueden resultar de mucha utilidad para el responsable del tratamiento a la hora de decidir sobre esta notificación. Se puede acceder a una traducción en catalán de este documento, aquí