Notificación de violaciones de seguridad

Notificación a la APDCAT (art. 33 RGPD)

Si se produce una violación de seguridad de los datos, las entidades responsables de tratamiento incluidas en el ámbito de actuación de la APDCAT deben notificarla a la Autoridad sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que han tenido constancia. Esto, salvo que sea improbable que la violación de seguridad constituya un riesgo para los derechos y libertades de las personas físicas. Si no se notifica en el plazo de 72 horas, es necesario indicar los motivos de la dilación (art.33 RGPD).

La notificación de la violación de seguridad a la Autoridad debe incluir el contenido mínimo siguiente:

a. Descripción de la naturaleza de la violación. Si es posible, también es necesario incluir las categorías y el número aproximado de afectados, así como las categorías y el número aproximado de registros de datos personales afectados.

b. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto.

c. Descripción de sus posibles consecuencias.

d. Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de la seguridad, incluidas, en su caso, las medidas adoptadas para mitigar sus posibles efectos negativos.
Si no se pueden facilitar todos los detalles sobre el incidente de seguridad en el momento de la notificación inicial a la APDCAT, puede realizarse de forma gradual, tan pronto como se disponga de la información.

La notificación de la violación de seguridad debe presentarse mediante el formulario de notificación. El formulario debe descargarse, y una vez cumplimentado y firmado electrónicamente, debe enviarse de acuerdo con lo que se indica a continuación:

• Las entidades que están dadas de alta en la plataforma EACAT deben presentar el formulario mediante el trámite “Notificaciones de violaciones de seguridad” de esta plataforma.
• El resto de entidades deben presentarlo a través de la plataforma e-TRAM, mediante el trámite "Presentación de escritos dirigidos a la Autoridad Catalana de Protección de Datos".
• Los sujetos que no están obligados a relacionarse electrónicamente con las administraciones públicas pueden presentarlo presencialmente, con firma manuscrita, en el Registro de entrada de documentos de la APDCAT (c/Rosselló, 214, esc. A, 1º 1a , 08008 Barcelona, de lunes a viernes de 9.00 a 14.00h), o por cualquiera de los otros medios a que se refiere el artículo 16.4 de la Ley 30/2015, de 1 de octubre, de procedimiento administrativo común de las administraciones públicas.

En posteriores comunicaciones con información complementaria -en las que debería utilizarse el mismo formulario-, debe hacerse constar el número asignado a la primera notificación de violación de seguridad.

Comunicación a las personas afectadas (art. 34 RGPD)

Cabe recordar que, además de notificar la violación de seguridad a la APDCAT, el responsable también debe comunicarla sin dilación indebida a las personas afectadas (titulares de los datos comprometidos por la violación), si es probable que comporte un riesgo alto para sus derechos y libertades. Esto, salvo que:

• El responsable haya adoptado medidas de protección adecuadas, tales como que los datos no sean inteligibles para personas no autorizadas.
• El responsable haya aplicado medidas posteriores que garantizan que ya no puede concretarse el riesgo alto.
• Suponga un esfuerzo desproporcionado; en tal caso, se puede optar por una comunicación pública o una medida equivalente.

¿Qué puede ocurrir si no se notifica una violación de seguridad de los datos?

Si una violación de seguridad no se notifica a la APDCAT, puede incurrirse en la vulneración de una obligación prevista en el RGPD, salvo que sea improbable que la violación comporte un riesgo para los derechos y libertades de las personas físicas. El hecho de notificar la violación más allá de las 72 horas, si no existen razones que lo justifiquen, también puede constituir una vulneración del RGPD. Estas vulneraciones pueden comportar que se ejerzan poderes de investigación y correctivos, incluida la imposición de una multa, si procede.