Notificacion de violacions de seguretat des donades personaus (NVS)

Ua violacion de seguretat des donades ei quinsevolh incident de seguretat que condusís ara destruccion, pèrda, alteracion, accès o revelacion non autorizada de donades personaus, tant s'ei de persones trabalhadores coma des persones a qui rends servicis, coma ciutadanetat, pacients, escolans, etc. S'ès ua entitat responsabla deth tractament e patisses ua violacion de seguretat, te cau notificar-la ara APDCAT sense retard indegut e, en tot cas, en un tèrme maximau de 72 ores dempús que n’ages agut notícia. Açò, exceptat que sigue improbable qu'era violacion constituïsque un risc (damatge) entàs drets e es libertats des persones titulares des donades comprometudes.

Quan s’a de notificar?

Se considère que s'a notícia d’ua violacion de seguretat quan i a ua certitud que s’a produsit e se n'a ua coneishença sufisenta dera natura e era portada. Era simpla sospèita que i a agut ua mancada o era constatacion qu'a succedit quauque tipe d’incident sense que se’n coneishen minimament es circonstàncies non a de dar lòc ara notificacion. Ena majoritat des casi, en aguestes condicions non se pòt determinar enquia quin punt i pòt auer un risc entàs drets e es libertats des persones interessades.

Maugrat açò, en casi de violacions que, pes sues caracteristiques, poguen auer un gran impacte, òc qu'ei recomanable contactar damb era APDCAT tanlèu que i aurà evidéncies que s’a produsit ua situacion irregulara per repòrt ara seguretat des donades, independentament qu'aguesti prumèrs contactes se complèten dempús damb ua notificacion formau laguens deth tèrme legaument previst.

I pòt auer casi en qu'era notificacion de quauqu’un des aspèctes requeridi non se pogue hèr laguens des 72 ores, per exemple, a causa dera complexitat ara ora de determinar-ne pleament era portada. En aguesti casi, era notificacion d’aguesti aspèctes se pòt hèr posteriorament, acompanhada d’ua explicacion des motius qu'an estat encausa deth retard.

Quin ei eth contengut dera notificacion d’ua violacion de seguretat ara autoritat de contraròtle?

Era notificacion a d’includir un contengut minim qu'eth madeish RGPD establís e que includís elements coma era natura dera violacion, es categories de donades e de persones afectades, es mesures adoptades pera entitat responsabla deth tractament entà solucionar era violacion e, s'esquè, es mesures aplicades entà amendrir es possibles efèctes negatius sus es persones interessades. Era informacion tanben se pòt proporcionar de manèra escalonada, quan non se poderà hèr en madeish moment dera notificacion.

Quan s’a de documentar e com?

Damb independéncia dera notificacion as autoritats de contraròtle, es entitats responsables de tractar donades tanben an de documentar totes es violacions de seguretat. Atau, an d’amiar a tèrme un registre intèrn sus es incidents de seguretat que patisquen.

Quan s’a de comunicar as persones afectades?

Ath delà de notificar era violacion de seguretat ara APDCAT quan serà probable qu'era violacion compòrte un naut risc (damatges importants o grèus) entàs drets des persones interessades, era entitat responsabla que tracte es donades tanben l’a de comunicar sense retard indegut as persones afectades, damb un lenguatge clar e compreneder.

Quan ei probable qu'ua violacion de seguretat compòrte un risc naut entàs drets des persones interessades?

Existís naut risc quan serà probable qu'era violacion de seguretat sigue encausa de damatges importants as persones interessades. Açò pòt succedir, per exemple, se se revèle informacion confidenciau, coma mots o clau de passa, era participacion en determinades activitats; se se difonen donades confidenciaus de forma massiva o se se pòden produsir perjudicis economics entàs persones afectades.

Er objectiu d’aguesta comunicacion ei perméter qu'es persones afectades poguen préner mesures entà protegir-se des conseqüéncies dera violacion de seguretat. Se sage qu'era persona afectada pogue reaccionar tanlèu coma serà possible. Entad açò, calerà includir es recomanacions sus es mesures que pòden préner es persones interessades entà hèr tèsta as conseqüéncies dera violacion.

Non calerà amiar a tèrme aguesta comunicacion as persones afectades se:

• Era entitat responsabla a adoptat mesures de proteccion adequades, coma qu'es donades non siguen comprenederes entà persones non autorizades.
• Era entitat responsabla a aplicat mesures posteriores que garentissen que ja non i a era probabilitat que se concrète eth naut risc.
• Supause un esfòrç desproporcionat. En aguest cas, se pòt optar per ua comunicacion publica o ua mesura equivalenta.

Quin ei eth ròtle des entitats encargades deth tractament?

S'era entitat responsabla utilize un encargat deth tractament e aguest encargat patís ua violacion de seguretat, n’a d’informar eth responsable sense retard indegut, tanlèu coma n'aurà coneishença, entà qu'era entitat responsabla pogue complir damb es sues obligacions de notificacion. Eth contracte que regule era encomana a d’estipular qu'er encargat a d’ajudar eth responsable a garentir eth compliment des obligacions de notificacion.