Segons l’article 33 del Reglament General Protecció Dades (RGPD), en cas de bretxa de la seguretat que afecti a les dades personals, el responsable del tractament haurà de notificar a l’autoritat de control competent el mes abiat possible, com a màxim 72 hores després que hagi tingut constància d’ella, tret que sigui improbable que aquesta bretxa de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.
Es considera que es té constància d’una bretxa de seguretat quan hi ha una certesa que s’ha produït i es té coneixement suficient de la seva naturalesa i abast. El criteri a tenir en compte per determinar si un incident ha produït “una bretxa de la seguretat de les dades personals” es recull en el propi RGPD, i inclou “totes aquelles bretxes de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d’una altra forma, o la comunicació o accés no autoritzats a aquestes dades.”
La notificació haurà de realitzar-se a través del formulari publicat a la seu electrònica de l’Agència Espanyola de Protecció de Dades.
Aquesta comunicació haurà de contenir la següent informació:
- Descripció de la naturalesa de la violació de la seguretat, indicant les categories i nombre de registres de dades personals afectats.
- Descripció de les possibles conseqüències de la violació de la seguretat de les dades personals.
- Descripció de les mesures adoptades o propostes per posar remei a la violació de la seguretat de les dades personals, incloent, si escau, les mesures adoptades per mitigar els efectes negatius que s’haguessin produït.
- En aquells casos en què la violació de la seguretat de les dades personals suposi un alt risc per als usuaris (per exemple: pèrdua de control de les seves dades personals, robatori d’identitat), els serà comunicada aquesta circumstància.
- El contingut de la comunicació als interessats serà expressat en un llenguatge clar i senzill. Aquesta comunicació, hauria de contenir com a mínim:
- Descripció general de l’incident i moment en què s’ha produït.
- Les possibles conseqüències de la bretxa de la seguretat de les dades personals.
- Descripció de les dades i informació personal afectats.
- Resum de les mesures implantades fins al moment per controlar els possibles danys i dades de contacte per obtenir més informació.
També s’ha de tenir en compte que l’article 34 del RGPD estableix que quan sigui probable que la bretxa de seguretat de les dades personals comporti un alt risc per als drets i llibertats de les persones físiques, el responsable del tractament ho haurà de comunicar també als afectats.
La notificació s’haurà de realitzar de forma directa a l’afectat, ja sigui per telèfon, correu electrònic, SMS, a través de correu postal, o a través de qualsevol altre mitjà dirigit a l’afectat que es consideri adequat. No s’haurà de comunicar la violació de la seguretat als interessats en les següents circumstàncies:
- Quan s’haguessin adoptat mesures de protecció que facin indesxifrable i inaccessible les dades personals afectats per la violació de la seguretat per a qualsevol persona que no tingui accés autoritzat (per exemple, el xifrat).
- Quan la comunicació suposi un esforç desproporcionat, havent-se d’en aquest cas realitzar una comunicació pública sobre la violació de la seguretat de les dades.