Junts les fem segures: Notificacions de violacions de seguretat
Una violació de la seguretat de les dades es produeix quan les dades personals que tracta un responsable o encarregat de tractament pateixen un incident de seguretat que dona lloc a la violació de la confidencialitat, disponibilitat o integritat de les dades. Si això passa, i és possible que la violació posi en risc els drets i les llibertats d'una persona, tal com preveu l’article 36 de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el responsable de tractament ha de notificar-ho a l'autoritat de control sense demora i a tot estirar 72 hores després de tenir-ne constància. Si la notificació no es produeix en aquest termini, s’han de justificar els motius de la dilació. Si és un encarregat del tractament, haurà de notificar cada violació de la seguretat de les dades al responsable del tractament.
D’altra banda, tal com es preveu a l’article 15 de la LQPD, si la violació de la seguretat de les dades suposa un alt risc per a les persones afectades, aquestes també hauran de ser informades tan aviat com raonablement sigui possible (llevat que s'hagin aplicat mesures de protecció tècniques i organitzatives efectives, o altres mesures que garanteixin que ja no existeix la probabilitat que es determini el risc).
Tipus de violacions de seguretat :
→ Violació de la confidencialitat: quan es produeix una revelació o s’ha accedit de manera no autoritzada o accidental a les dades personals.
→ Violació de la integritat: quan es produeix una alteració no autoritzada o accidental de les dades personals.
→ Violació de la disponibilitat: quan es produeix una pèrdua d’accés accidental o no autoritzat a les dades personals, o bé s’han destruït.
Procediment de notificació a l’APDA:
Quan el responsable de tractament notifica una violació de seguretat a l’autoritat de control, l’article 36 de la LQPD estableix que com a mínim, ha de:
a) Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectats.
b) Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte on es pot obtenir més informació.
c) Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
d) Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.
Per facilitar el compliment d’aquests requisits en el contingut de les notificacions de violacions de seguretat, l’APDA posa a disposició dels responsables de tractament un formulari estandarditzat de notificació. En tot cas, l’APDA podrà requerir al responsable tota la informació addicional necessària.
Una vegada notificada una violació de seguretat a l'APDA, el responsable de tractament ha d'estar preparat per rebre i atendre els possibles requeriments, ordres o comunicacions que l'APDA pugui fer electrònicament en relació amb la violació de seguretat notificada.
Notificació als interessats:
El responsable del tractament ha de prendre les mesures oportunes per facilitar a la persona interessada tota la informació relativa al tractament de les seves dades, entre la qual també hi ha la violació de la seguretat de les dades personals de la persona interessada en el cas escaient.
Aquesta informació s’ha de facilitar d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobretot si la informació s’adreça específicament a un menor d’edat. La informació s’ha de facilitar per escrit o per altres mitjans, inclosos, si escau, els mitjans electrònics.
Enllaç d'interès:
