Com hem d’actuar amb les bretxes de seguretat de dades personals?

D’acord amb la normativa de protecció de dades, una bretxa de seguretat és un incident de seguretat que afecta a dades de caràcter personal. Aquest incident pot tenir un origen accidental o intencionat i a més pot afectar dades tractades digitalment o en format paper. En general, es tracta d’un succés que ocasiona destrucció, pèrdua, alteració, comunicació o accés no autoritzat a dades personals.

Existirà una bretxa de seguretat si, per exemple, un dels seus empleats extravia o pateix el robatori d’un ordinador portàtil en el qual hi ha emmagatzemades dades personals tractades per la seva empresa. També n’hi haurà si es produeix un accés no autoritzat a les seves bases de dades, o l’esborrat accidental de dades.
En canvi, si en l’ordinador extraviat no hi havia dades personals (sinó altres informacions de la seva empresa), no hi haurà bretxa de seguretat i no haurà de complir les obligacions que s’indiquen a continuació:

Recollir informació:

  • Què ha passat? S’ha perdut un dispositiu amb dades personals? S’ha produït un robatori? S’han publicat dades personals per error o s’ha enviat a un destinatari equivocat? etc.
  • Quin ha estat l’origen de la bretxa?, si ha estat interna o externa i la seva intencionalitat.
  • Quines categories de dades s’han vist afectades?: si són dades bàsiques com a credencials o dades de contacte o si bé són categories especials com puguin ser dades de salut.
  • Quin es el  volum de dades afectades?, tant en nombre de registres afectats com en nombre de persones afectades.
  • Quines son les categories de persones afectades?: clients, empleats, estudiants, abonats, pacients, etc. És important identificar si es tracta de col·lectius vulnerables.
  • Quan es va iniciar, quan s’ha detectat i quan es va resoldre o resoldrà la bretxa de seguretat?

 

Notificar la incidència:

  • A la AEAPD (Agència de protecció de dades) en el termini màxim de 72 h, des de que se’n tingui coneixement, excepte en el cas que no existeixi risc per al titular de les dades (per exemple, perquè les dades afectades ja eren públiques o estan encriptades).
  • Si comporta un alt risc, el fet també haurà de comunicar-se sense dilació indeguda als afectats a través del mitjà que se solgui utilitzar per a comunicar-se amb ells, amb un llenguatge clar i senzill. Això permetrà que els afectats puguin reaccionar com més aviat millor i prendre les mesures oportunes, perquè en aquesta comunicació se’ls haurà d’explicar clarament el succeït i les mesures recomanades perquè puguin minimitzar o eliminar les conseqüències negatives que pugui tenir la bretxa sobre ells.

 

Registrar-la: Independentment de si s’ha notificat a l’AEPD o no, o si s’ha informat els afectats, hem de portar un registre de les bretxes de seguretat que patim, en el qual es justifiqui les decisions que s’han pres. Aquest document pot ser exigible en qualsevol moment per part de l’AEPD.

 

Assessorem i gestionem la protecció de dades personals. Consulteu-nos sense compromís trucant al 972 426 082, o per correu electrònic adreçat a mariaromaguera@rm-assessors.cat.

 

 

 

No hi ha comentaris

Escriu un comentari