Notificació de violacions de seguretat

És un incident que compromet la seguretat de les dades personals, ja sigui intencionat o involuntari. Si l’incident no té afectació sobre les dades personals, no és una violació de seguretat de les dades.

No hi ha una llista definida, però alguns exemples són:

• Tramesa de dades personals a un destinatari erroni.
• Enviament de correu electrònic sense còpia oculta.
• Robatori / pèrdua de dispositius mòbils (portàtils, llapis de memòria, etc.).
• Encriptació de dades (ransomware).
• Robatori de credencials de correu-e.
• Fallada del sistema que causa falta de disponibilitat de les dades.
• Exposició pública de dades per error de configuració del sistema.
• Accés no autoritzat a la història clínica d’un pacient.
• Robatori de documentació en paper.
• Exposició pública de dades per destrucció inadequada de documentació en paper.

Quan la violació pot comportar perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades. Per exemple: pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

La notificació permet que l’Autoritat pugui indicar al responsable del tractament si ha gestionat la violació adequadament o, en cas contrari, requerir-li les accions necessàries per fer-ho.

La falta de notificació implica l’incompliment d’una obligació establerta per l’RGPD. Per tant, pot comportar una investigació i, si escau, una sanció, a més del dany per a la reputació del responsable del tractament.

Si el retard està justificat, no té cap conseqüència. Si la dilació no està justificada, pot constituir una infracció i, si escau, comportar una sanció.

No passa res. La notificació es tramita i, un cop es conclou que no hi ha hagut una violació que sigui obligatori notificar, es tanca l’expedient. De fet, davant del dubte és preferible fer la notificació.

La normativa obliga el responsable del tractament. Si la violació la pateix l’encarregat, ho ha de comunicar immediatament al responsable perquè aquest pugui complir amb les seves obligacions; i això inclou, si escau, notificar la violació a l’APDCAT.

Un encarregat de tractament també pot notificar una violació en nom del responsable, i fins i tot comunicar-la als afectats, si això forma part dels acords contractuals. Això no obstant, la responsabilitat jurídica de notificar-la i comunicar-la als afectats sempre recau en el responsable.

S’ha de comunicar quan hi ha un alt risc per als seus drets i llibertats (probabilitat que la violació de seguretat ocasioni danys importants a les persones interessades). Això significa que cal avaluar la probabilitat i gravetat de les conseqüències que la violació té per a les persones afectades. Per exemple, es pot tenir en compte si:

• pot produir perjudicis econòmics
• ha afectat dades sensibles
• pot provocar una suplantació d’identitat
• permet accedir a més informació personal dels afectats (si s’han obtingut contrasenyes, per exemple)
• afecta col·lectius vulnerables

Es pot fer una comunicació pública, per exemple al web de l’entitat o als mitjans de comunicació. Aquesta comunicació ha de contenir, igualment, tota la informació obligatòria.

Perquè les persones afectades puguin prendre mesures per protegir-se dels efectes perjudicials de la violació.

Es fa una notificació inicial en el termini de 72 hores. Un cop fets tots els esbrinaments i es disposa de més informació, cal presentar la notificació complementària sense més dilació.