Les violacions de seguretat: Quan i a qui s’han de notificar?
Les violacions de seguretat són un incident informàtic que compromet la seguretat de les dades personals, sigui intencionat o involuntari.
Cal tenir en compte, però, que si l’incident no té afectació sobre les dades personals no és una violació de seguretat de les dades.
Quan es comet una violació de seguretat de dades personals?
No existeix una llista definida de violacions de seguretat però podríem posar alguns exemples que aquesta violació afecta i pot perjudicar a tercers:
- Enviament de dades personals a un destinatari erroni.
- Robatori o pèrdua de dispositius mòbils.
- Encriptació de dades a través d’un ransomware (programari maliciós que s’utilitza per bloquejar la pantalla o xifrar la informació emmagatzemada en el disc i que sol tenir per objectiu la reclamació d’una suma econòmica. Recordem que és totalment il·legal pagar aquest tipus de rescat)
- Robatori de credencials del correu electrònic.
- Accés no autoritzat a la història clínica d’un pacient.
- Exposició de dades per destrucció inadequada de documentació en paper.
En aquest sentit, hem de recordar que el responsable del tractament de protecció de dades ha de documentar TOTES les violacions de seguretat. Tant si és preceptiu notificar-les a l’Agència Espanyola de Protecció de Dades (en endavant, AEPD) com si no.
En concret, ha de fer constar tota la informació relativa als fets, els efectes i les mesures correctores adoptades. Aquesta notificació és importantíssima per a vetllar per la protecció de les dades compromeses i fer-ne un seguiment.
Com podem saber si cal notificar una violació de seguretat a l’AEPD?
Cal notificar-ho a l’AEPD quan la violació pugui comportar perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades.
Per exemple, hem de notificar la pèrdua de control sobre les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació o pèrdua de confidencialitat de dades subjectes a secret professional.
És important tenir en compte que la normativa vigent en protecció de dades estableix un termini de 72 hores per a fer aquesta notificació. Si hi ha un retard en la notificació, i aquesta dilació temporal no està justificada, pot constituir una infracció i fins i tot una sanció.
No notificar una violació de seguretat a l’AEPD quan es compleixin tots els paràmetres que ens indiquen que cal fer-ho, pot comportar una investigació i, si escau, una sanció, a més del dany per a la reputació de l’empresa.
I si la violació de seguretat l’ha patida l’encarregat del tractament i no pas l’empresa responsable de les dades?
La normativa obliga al responsable del tractament a fer la notificació de la violació de seguretat. Si la violació la pateix l’encarregat, ho haurà de comunicar immediatament al responsable perquè aquest pugui complir amb les seves obligacions. És necessari que en el contracte que es firma entre el responsable i l’encarregat de tractament a l’inici de la prestació dels serveis, es contempli aquesta obligació; tot i que també seria possible acordar que l’encarregat faci la notificació en cas de patir una violació de seguretat, la responsabilitat jurídica continuarà recaient sempre sobre el responsable.
Quan és necessari notificar la violació de seguretat a les persones afectades?
S’ha de comunicar quan hi ha un alt risc per als seus drets i llibertats. És a dir, que hi hagi una alta probabilitat que la violació de seguretat ocasioni danys importants a les persones interessades. Per a poder analitzar aquesta necessitat, caldrà avaluar tant la probabilitat com la gravetat de les conseqüències que pugui comportar la violació per a les persones afectades. Per exemple, podem valorar quins efectes pot tenir la violació sobre els següents aspectes:
- Pot produir perjudicis econòmics.
- Ha afectat dades sensibles (dades sanitàries, antecedents penals, etc.)
- Pot provocar una suplantació d’identitat.
- Afecta col·lectius vulnerables (menors d’edat, per exemple)
En cas que es determini una probabilitat real que la violació de seguretat pot afectar els drets i llibertats de les persones, és molt important procedir a la seva comunicació perquè aquestes persones puguin prendre mesures per protegir-se dels efectes perjudicials de la violació.
Deixa un comentari