Notificació de les violacions de seguretat de dades segons el RGPD

L’obligatorietat de notificació de les violacions de seguretat de dades és una de les novetats incloses en el Reglament General de Protecció de Dades (RGPD).

Entendrem com bretxa de seguretat o violacions de seguretat de dades tot contratemps que origini la destrucció, pèrdua o modificació (accidental o il·lícita) de dades personals cedits, conservats o tractats d’una altra manera, o la comunicació o accés no autoritzat a aquestes dades.

Quan es produeixi una violació de la seguretat de les dades, el responsable de seguretat ha de notificar a l’Autoritat de protecció de dades competent (RGPD), llevat que sigui improbable que la violació suposi un risc per als drets i llibertats dels afectats. La notificació a l’Autoritat, si és possible, ha de produir-se abans de les 72 hores següents que el responsable tingui constància.

El contingut mínim que ha d’incloure d’aquestes notificacions ha de ser:

  • Descriure la naturalesa de la violació de la seguretat (les categories i el nombre aproximat d’interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats).
  • Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte en el qual es pugui obtenir més informació.
  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
  • Descriure les mesures adoptades o propostes pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar els possibles efectes negatius.

A més de notificar la bretxa de seguretat a l’Autoritat de control, en els casos en què sigui probable que la violació de seguretat tingui alt risc per als drets o llibertats dels afectats també s’haurà de notificar a aquests afectats.

Pot ocórrer que la notificació no pugui realitzar-se dins de les 72 hores, per la dificultat de determinar el seu abast, en casos com aquest la notificació pot realitzar-se posteriorment acompanyada d’una explicació dels motius del retard. També es pot proporcionar la informació de forma esglaonada.

Els casos en què es desvetlli informació confidencial, contrasenyes, dades sensibles o que puguin produir perjudicis econòmics als afectats, han de classificar-se com violacions de la seguretat d’alt risc.

No caldrà notificar als afectats quan:

  • El responsable haguera adoptat mesures tècniques o organitzatives abans de la violació de la seguretat, com pot ser el xifrat.
  • No hi hagi possibilitat que l’alt risc es materialitzi.
  • La notificació impliqui un esforç desproporcionat.
Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS

PROFESSIONALS EN PROTECCIÓ DE DADES