Incidència LOPD, com actuar?

Compartir esta noticia:
Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

Darrerament ha estat notícia la incidència de seguretat de la web de cites Ashley Madison. Més enllà de la revolada social que ha aixecat, el cas és que és cada vegada és més habitual que es donin a conèixer aquest tipus de casos que poden afectar la seguretat de les dades. La regulació actual en relació a com actuar en cas d’incidència, difereix en funció de quin tipus d’empresa l’ha sofert, però aquesta situació pot canviar en el cas que s’acabi aprovant el tantes vegades esmentat Reglament General de Protecció de Dades.

Incidencia LOPD

Incidencia LOPD

 

Què fer en cas d’una incidència?

El RLOPD, defineix incidència com “qualsevol anomalia que afecti o pogués afectar a la seguretat de les dades” i també regula que el procés de “notificació, gestió i resposta“, ha de quedar recollit en el Document de Seguretat. Aquesta obligació resulta aplicable per a qualsevol empresa o entitat que tracti dades personals, amb independència del nivell de seguretat exigible a les mateixes. Essencialment doncs, qualsevol empresa que tracti dades, haurà de disposar d’un sistema per registrar cada incidència on s’inclogui, almenys, “el tipus d’incidència, el moment en què s’ha produït, o si escau, detectat, la persona que realitza la notificació, a qui se li comunica, els efectes que s’haguessin derivat de la mateixa i les mesures correctores aplicades“. En el cas que l’empresa tracti dades de nivell mig o alt, a més de l’anterior haurà de registrar “els procediments realitzats de recuperació de les dades, indicant la persona que va executar el procés, les dades restaurades i, si escau, quines dades ha estat necessari gravar manualment en el procés de recuperació“.

Ha de comunicar-se a l’AEPD o a la persona afectada per la incidència?

A data d’avui, no. Aquesta obligació és únicament exigible actualment als operadors de serveis de comunicacions electròniques que segons la Llei General de Telecomunicacions (art. 41) hauran de comunicar, sense dilacions, les violacions que puguin afectar a dades personals, a l’AEPD i en cas que aquesta violació o incidència, pogués afectar “a la intimitat o a les dades personals d’un abonat”, aquesta comunicació haurà d’incloure al propi afectat.

En el futur què?

L’obligació de notificar les incidències en matèria de protecció de dades, va ser inclosa des de la primera versió del Reglament General de Protecció de Dades, presentada en el llunyà gener de 2012. Aquest mes de juny, s’ha presentat una última versió que manté aquesta obligació per a qualsevol tipus d’empresa. A falta de veure com queda finalment, s’inclou la *obligació de notificar les incidències en un termini màxim de 72 hores a l’AEPD (en el cas d’Espanya) i als afectats (sense determinar termini), sempre que la mateixa pugui tenir un elevat risc d’afectar “als drets i llibertats de les persones, com la discriminació, robatori d’identitat o frau, pèrdues financeres, dany a la reputació, reversió no autoritzada en un procés de *pseudonomizació, pèrdua de confidencialitat de dades protegides pel secret professional o altres pèrdues econòmiques o desavantatges socials“.


Veurem com queda, però en cas que el Reglament avanci, les obligacions de les empreses en cas d’incidències, podrien augmentar significativament.

Contacta amb Víctor Roselló

Els camps amb asterisc (*) son obligatoris.

Nom*

Cognoms*

Empresa

NIF / CIF

Telèfon*

Correu electrònic*

Assumpte*

Comentaris

He llegit i accepto Política de Privacitat

Per evitar spam i confirmar que no ets un robot, escriu si us plau el text de la imatge captcha