GDPR 12. La violació de seguretat


Josep Aragonés Salvat     06/09/2016

Violacions de seguretat de les dades personals


Segons la definició descrita a l'article 4, apartat 12 del Reglament, una violació de la seguretat de les dades personals és "tota violació de la seguretat que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o de una altra forma, o la comunicació o accés no autoritzats a aquestes dades "que pugui produir-se en qualsevol fase del tractament: obtenció, accés, intervenció, transmissió, conservació o supressió de dades.

Al GDPR, les disposicions referents a les violacions de seguretat estan incloses en el Capítol IV (Responsable del tractament i encarregat del tractament), dins de la secció 2 (Seguretat de les dades personals), articles 33 i 34, de manera que aquesta normativa s'haurà de contemplar en la política de seguretat que implementi l'organització per garantir un nivell de seguretat adequat al risc que comporti el tractament.

Tal com s'indica als Considerandos 85 a 88, el Responsable i l'Encarregat del tractament han de prendre suficients mesures per prevenir danys o perjudicis a interessats o tercers en el transcurs del tractament de dades, com "la pèrdua de control sobre les seves dades personals o restricció dels seus drets, discriminació, usurpació d'identitat, pèrdues financeres, reversió no autoritzada de la seudonimización, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física ".

També obliga al Responsable a notificar aquestes violacions a l'Autoritat de control en un màxim de 72 hores i fins i tot comunicar-les als interessats afectats si la incidència es preveu que pugui comportar un alt risc per als seus drets i llibertats.

A tenir en compte que el Reglament disposa que les notificacions (a l'Autoritat de control) o les comunicacions (a l'interessat) s'han de realitzar "sense dilació indeguda", o sigui tan ràpida com sigui possible, sobretot per evitar nous riscos o mitigar les conseqüències i efectes adversos que s'hagin produït.

 

Notificació d'una violació de dades a l'autoritat de control (article 33)


El Responsable del tractament haurà de documentar qualsevol violació de la seguretat de les dades personals produïda sota la seva responsabilitat i notificar-la a l'Autoritat de control, sense dilació indeguda, a ser possible en un màxim de 72 hores des que s'hagi tingut constància.

En el cas de notificar-la a l'Autoritat de control passades 72 hores des que s'hagi tingut coneixement, haurà d'acompanyar una justificació motivada.

Quan la violació s'hagi produït sota la responsabilitat de l'Encarregat del tractament, aquest ho ha de notificar al Responsable del tractament sense dilació indeguda.

No caldrà notificar una violació de dades a l'Autoritat de control quan sigui improbable que la vulneració de les dades personals constitueixi un risc per als drets i les llibertats dels interessats. Aquesta improbabilitat s'ha de basar atenent al principi de responsabilitat proactiva descrit a l'article 5 del GDPR què diu que s'ha de ser capaç de demostrar el compliment de tots els principis del tractament: Licitud, Limitació dels fins, Minimització de les dades, Exactitud, Limitació del termini de conservació, Integritat i Confidencialitat. Més informació a: Els principis del tractament

La notificació d'una violació de dades haurà de documentar descrivint:
 
  • La naturalesa i context de la violació.
  • Els possibles efectes i conseqüències de la violació.
  • Les mesures correctives adoptades o propostes pel Responsable del tractament per posar remei i mitigar els efectes ocasionats.
  • Quan sigui possible:
    • Les categories i nombre d'interessat afectats.
    • Les categories i nombre de registres afectats.
  • Si és el cas, la identitat i les dades de contacte del DPO o altres contactes per obtenir més informació.
  • Si no és possible facilitar tota la informació en una comunicació, es notificarà per etapes sense dilació indeguda.



Comunicació d'una violació de dades a l'interessat (article 34)


El Responsable del tractament ha de comunicar una violació de dades a l'interessat, sense dilació indeguda, quan:
 
  • Sigui probable que presenti un alt risc per als drets i llibertats de la persona interessada.
  • Li siga exigit per l'Autoritat de control.

No serà necessària la comunicació d'una violació de dades a l'interessat quan el Responsable del tractament pugui demostrar:
 
  • Que s'han adoptat mesures tècniques i organitzatives apropiades de protecció per fer inintel·ligibles les dades a persones no autoritzades i que aquestes s'han aplicat a les dades afectades.
  • Que s'han pres mesures posteriors que garanteixen que ja no sigui probable un alt risc per als drets i llibertats de l'interessat.
  • Que suposés un esforç desproporcionat. En aquest cas, es podrà optar per una comunicació pública que sigui igualment efectiva per informar a l'interessat.

La comunicació d'una violació de dades a l'interessat serà clara i contindrà:
 
  • Una descripció de la naturalesa de la violació.
  • Les possibles conseqüències de la violació.
  • Les mesures correctives adoptades o propostes pel Responsable del tractament per posar remei i mitigar els efectes ocasionats.
  • Si és el cas, la identitat i les dades de contacte del DPO o altres contactes per obtenir més informació.
 

Casos de violacions de la seguretat de les dades


Es pot produir una violació de la seguretat quan, per qualsevol motiu, sigui intencionat o no, es vulneri la seguretat de les dades o es prevegi que pugui comportar un alt risc per als drets i llibertats de les persones físiques.

Els casos més comuns que poden constituir una infracció de dades són:
 
  • Accés a dades no autoritzat:
    • Encàrrec del tractament sense el contracte corresponent.
    • Accés indiscriminat a impressores, fotocopiadores, etc.
    • Accés a informació confidencial no autoritzada: nòmines, currículums, embargaments, videovigilància, etc.
    • Accés no autoritzat als sistemes informàtics.
 
  • Comunicació de dades no autoritzada:
    • Transmissió il·lícita de dades a un Destinatari.
    • Vulneració del secret professional.
    • Publicació d'imatges sense autorització de l'interessat.
    • Enviament de correus electrònics massius sense ocultar els destinataris (còpia oculta).
    • Transferència internacional de dades sense estar subjecta a una Decisió de suficiència de la UE o Garanties adequades de protecció de dades.
 
  • Alteració de dades:
    • Modificació de dades malintencionat.
    • Falsificació de dades.
    • Recuperació ineficaç de còpies de seguretat.
 
  • Pèrdua d'informació:
    • Pèrdua o oblit de suports.
    • Robatori o sostracció d'informació.
    • Desinstal·lació d'aplicacions informàtiques.
    • Per causes del transport.
    • Reorganització de l'empresa.
 
  • Destrucció de dades:
    • No fer servir destructora de paper o de suports digitals.
    • Incendi, inundació o altres causes alienes a l'empresa.
 
  • En qualsevol dels casos esmentats anteriorment, es poden produir violacions de dades per l'absència de mesures de seguretat:
    • Antivirus, antispam, antimalware, antiransomware, fireware, xifrat, seudonimització, etc.
    • Identificació i autenticació per accedir als sistemes informàtics.
    • Mecanismes de seguretat per accedir al mobiliari o als departaments amb dades personals.
    • Disposició de dades a la vista de persones no autoritzades (recepció, monitors, taules, etc.)
 


Què diu el GDPR


Considerant 85
Si no es prenen a temps mesures adequades, les violacions de la seguretat de les dades personals poden comportar danys i perjudicis físics, materials o immaterials per a les persones físiques, com pèrdua de control sobre les seves dades personals o restricció dels seus drets, discriminació, usurpació d'identitat, pèrdues financeres, reversió no autoritzada de la seudonimización, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física en qüestió. Per tant, tan aviat com el responsable del tractament tingui coneixement que s'ha produït una violació de la seguretat de les dades personals, el responsable ha, sense dilació indeguda i, si és possible, com a molt tard 72 hores després que hagi tingut constància d'ella, notificar la violació de la seguretat de les dades personals a l'autoritat de control competent, llevat que el responsable pugui demostrar, atenent al principi de responsabilitat proactiva, la improbabilitat que la violació de la seguretat de les dades personals comporti un risc per als drets i les llibertats de les persones físiques. Si aquesta notificació no és possible en el termini de 72 hores, s'ha d'acompanyar d'una indicació dels motius de la dilació, i pot facilitar informació per fases sense més dilació indeguda.

Considerant 86
El responsable del tractament ha de comunicar a l'interessat sense dilació indeguda la violació de la seguretat de les dades personals en cas que pugui comportar-li un alt risc per als seus drets i llibertats, i permetre-li prendre les precaucions necessàries. La comunicació ha de descriure la naturalesa de la violació de la seguretat de les dades personals i les recomanacions perquè la persona física afectada mitigui els potencials efectes adversos resultants de la violació. Aquestes comunicacions als interessats han de realitzar-se tan aviat com sigui raonablement possible i en estreta cooperació amb l'autoritat de control, seguint les seves orientacions o les d'altres autoritats competents, com les autoritats policials. Així, per exemple, la necessitat de mitigar un risc de danys i perjudicis immediats justificaria una ràpida comunicació amb els interessats, mentre que cal justificar que la comunicació porti més temps per la necessitat d'aplicar mesures adequades per impedir violacions de la seguretat de les dades personals contínues o similars.

Considerant 87
S'ha de verificar si s'ha aplicat tota la protecció tecnològica adequada i s'han pres les mesures organitzatives oportunes per determinar immediatament si s'ha produït una violació de la seguretat de les dades personals i per informar sense dilació a l'autoritat de control i l'interessat. S'ha de verificar que la notificació s'ha realitzat sense dilació indeguda tenint en compte, en particular, la naturalesa i gravetat de la violació de la seguretat de les dades personals i les seves conseqüències i efectes adversos per a l'interessat. La notificació pot resultar en una intervenció de l'autoritat de control de conformitat amb les funcions i poders que estableix el present Reglament.

Considerant 88
En establir disposicions d'aplicació sobre el format i els procediments aplicables a la notificació de les violacions de la seguretat de les dades personals, cal tenir degudament en compte les circumstàncies de tal violació, fins i tot si les dades personals havien estat protegides mitjançant les mesures tècniques de protecció adequades, limitant eficaçment la probabilitat d'usurpació d'identitat o altres formes d'ús indegut. Així mateix, aquestes normes i procediments han de tenir en compte els interessos legítims de les autoritats policials en cas que una comunicació prematura pugui obstaculitzar innecessàriament la investigació de les circumstàncies d'una violació de la seguretat de les dades personals.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 11. La seguretat del tractament     Tema següent: 13. Tractament de categories especials de dades



Informació relacionada