accesskey_mod_content

L'AEPD publica una nova versió de la seva guia per notificar bretxes de dades personals

26 maig 2021

Les notificacions i comunicacions de bretxes que afecten a dades personals són part de la responsabilitat proactiva establerta en el Reglament General de Protecció de Dades (RGPD).

L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat avui una actualització de la seva ‘Guia per a la notificació de bretxes de dades personals’, un document que té com a objectiu guiar als responsables dels tractaments de dades personals en la seva obligació de notificar-les a les autoritats de protecció de dades i comunicar-li-ho a les persones les dades de les quals s'hagin vist afectats. Aquesta guia actualitza la versió publicada en 2018, quan va començar a aplicar-se el Reglament General de Protecció de Dades (RGPD), i inclou l'experiència recollida en aquest temps, tant a nivell nacional com en relació amb els criteris establerts pel Comitè Europeu de Protecció de Dades.

El principal propòsit d'aquesta actualització és facilitar el compliment de forma eficaç i eficient dels objectius últims de la notificació de bretxes de dades personals: la protecció efectiva dels drets i llibertats de les persones, la creació d'un entorn més resiliente basat en el coneixement de les vulnerabilitats de l'organització i la garantia d'una seguretat jurídica en disposar els responsables d'un mitjà per demostrar diligència en el compliment de les seves obligacions.

Qualsevol organització es troba exposada a sofrir una bretxa de dades personals que pugui repercutir en els drets i llibertats de les persones, i està obligada a gestionar-la de forma adequada. Aquest incident pot tenir un origen accidental o intencionat i, generalment, ocasiona la destrucció, pèrdua, alteració, comunicació o l'accés no autoritzat a dades personals. La Guia comença analitzant què és una bretxa de dades personals i què no ho és en el context del marc normatiu europeu, nacional i sectorial. A continuació analitza quan cal notificar aquesta bretxa a l'autoritat de control, en quin termini, o qui i quin contingut ha d'incloure aquesta notificació. Quant a la comunicació a les persones afectades, el document recull en quins casos cal realitzar-la, el contingut i els seus terminis.

Les notificacions i comunicacions relatives a bretxes que afecten a dades personals formen part de la responsabilitat proactiva establerta en el RGPD, i el fet de notificar-la o comunicar-la no implica necessàriament la imposició d'una sanció. De fet, fer-ho dintre del termini i en la forma escaient és una evidència de la diligència de l'organització, mentre que no complir amb aquesta obligació sí està tipificat com a infracció.

La Guia ofereix directrius per facilitar i simplificar el compliment d'aquestes obligacions i, entre altres punts, orienta sobre alguns terminis que el RGPD deixa oberts, com la notificació d'una bretxa de dades personals a l'autoritat de control de forma gradual, els terminis per comunicar-la a les persones les dades de les quals s'han vist afectats o els relatius al fet que els encarregats de tractament informin als responsables quan es produeix una bretxa.

L'Agència ha gestionat més de 700 bretxes de dades notificades en els primers cinc mesos de 2021. La majoria d'elles s'han produït per un atac extern i intencionat sent el ransomware l'amenaça més freqüent, comprometent no solament la disponibilitat sinó també la confidencialitat de les dades personals.

Comunicació als afectats

Com a complement a la present Guia, l'Agència disposa d'una eina anomenada ‘Comunica-Bretxa RGPD’, que ofereix ajuda a les organitzacions per decidir si han de comunicar o no una bretxa de dades a les persones afectades, una obligació independent a la de notificar aquesta bretxa a l'autoritat de control.

Aquest recurs es basa en un breu formulari en el qual es recapten detalls que permeten aplicar uns criteris bàsics indicatius del risc associat a la bretxa. En completar el formulari, i en funció de la informació que hagi estat facilitada, l'eina aconsellarà tres possibles escenaris: que s'ha de notificar la bretxa de seguretat a les persones afectades en apreciar-se un risc alt; que no és necessària aquesta comunicació, o que no es pot determinar el nivell de risc. La decisió final ha de prendre-la el responsable en funció dels aspectes específics del tractament i de la bretxa concreta. En cap cas l'Agència emmagatzema les dades consignades durant el procés.

Font original de la notícia(Obre en nova finestra)

  • Ciutadà
  • Seguretat