Com notificar les violacions de seguretat pas a pas

Autor: Oficina DPD   /  10.11.2021

 El RGPD defineix violació de seguretat com qualsevol violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o comunicades de manera no autoritzada.

El responsable de tractament d’una entitat de /Salut haurà de comunicar les violacions de seguretat de les dades a l’autoritat de control quan comportin un risc per als drets i llibertats de les persones. I en casos d’alt risc, també als afectats. Aquesta obligació es fa extensible a totes aquelles entitats que portin a terme un tractament de dades personals.

Quan l’entitat es troba davant d’un incident de seguretat com l’accés indegut, sniffing, malware o compromís de credencials, entre d’altres, haurà de valorar si aquest ha afectat a les dades personals dels interessats i procedir en conseqüència.

Des del moment en que es té constància que la violació afecta als drets i llibertats de les persones, la persona designada es posarà en contacte amb el Delegat de Protecció de dades. Aquest assessorarà al CPD o persona designada per l’entitat i al Comitè de seguretat i protecció de dades; supervisarà el compliment de la normativa de protecció de dades; i actuarà com a punt de contacte amb l’Autoritat, tal i com s’haurà d’indicar a través d’un formulari de notificació.

Quins tipus de violació de seguretat existeixen?

Violació de confidencialitat

Quan parts no autoritzades o sense propòsit legítim accedeixen a les dades personals.

La gravetat de la pèrdua de confidencialitat s’haurà d’analitzar juntament amb l’abast de la seva divulgació, és a dir, número potencial i tipus de parts que poden haver accedit a la informació.

Violació d’integritat

Quan existeix alteració de la informació original i la substitució de dades que presenten risc perjudicial per l’individu.

Violació de disponibilitat

Quan en ser necessari, no es pot accedir a les dades originals. Aquesta violació pot ser temporal (dades recuperables) o permanent (dades no recuperables).

En el cas de tractaments transfronterers les violacions de seguretat poden afectar les dades personals en més d’un estat membre. En aquests casos, cada autoritat de control és competent per desenvolupar les funcions que se li assignen i per exercir els poders que té conferits d’acord al reglament, al territori del seu estat membre.

Quan el tractament el duen a terme autoritats públiques que actuen de conformitat amb l’article 6, apartat 1, lletres c) o e), l'autoritat de control competent és la de l'estat membre de què es tracta.

Violacions de seguretat en l’àmbit de la recerca

En l’àmbit de recerca amb dades de salut, existeixen dos elements que afegeixen complexitat a la gestió de les notificacions de les violacions de seguretat:

Complexitat normativa en l’àmbit de la recerca

En funció del tipus de projecte hem d’estar a la normativa especifica que la regula el projecte concret. Cada norma, estableix una sèrie d’obligacions específiques i diferents en relació al tractament de les dades utilitzades en el projecte de recerca, com per exemple el termini de conservació de les dades, o les comunicacions a tercers.

Complexitat per determinar la responsabilitat del tractament

Existeixen diversos actors que tracten dades (centre hospitalari, promotor, fundació que gestiona la recerca, monitor,...)  i cal determinar quines són les relacions que s’estableixen entre ells (responsable del tractament, corresponsables, encarregat de tractament) per determinar qui avaluarà i comunicarà la violació de seguretat.

Per a més informació podeu contactar amb l’Oficina del Delegat de Protecció de Dades de Salut a dpd@ticsalutsocial.cat o bé consultar el lloc web www.dpdsalut.cat