Sabeu què heu de fer en cas de tenir una bretxa de seguretat? I, com actuarà l’agència davant una bretxa? Ens sancionarà o no?
El nostre CEO, Jaume Feliu, enginyer i DPD certificat, va participar el passat 26 d’octubre en una taula de debat organitzada pel Col·legi d’Advocats de Barcelona, amb dos ponents més, José Luis Rojo de Luque i Júlia Bacaria. En aquest esdeveniment, van analitzar les bretxes o incidents de seguretat des d’un punt de vista tècnic i jurídic, donant resposta a les preguntes que hem plantejat a l’inici i a moltes més. El debat va tenir una molt bona acollida i us convidem a veure’l en el següent enllaç: BRETXES O INCIDENTS DE SEGURETAT.
En les següents línies anem a fer-vos un breu resum d’aquells aspectes que, a la nostra manera de veure, són més interessants i convé tenir en compte:
Què hem de fer davant una bretxa de seguretat?
L’RGPD introdueix en els seus articles 33 i 34 l’obligació de notificar les bretxes de dades personals que poden suposar un risc per als drets i llibertats de les persones físiques. Un exemple de bretxa de seguretat pot ser l’enviament massiu d’un mail sense ocultar als destinataris o el robatori o sostracció d’informació.
En cas que puguin comportar un alt risc per als drets i llibertats dels afectats se’ls haurà de notificar. Ens podem trobar amb el cas de què siguin molts i no es puguin identificar tots, davant aquesta situació es realitzarà una comunicació pública, per exemple, mitjançant la pàgina web de l’empresa afectada.
Notificació
Com hem comentat en el punt anterior, no totes les bretxes hauran de ser comunicades a l’agència, únicament les que suposin un risc per als drets i llibertats de les persones físiques. En cas de no notificar-se, el responsable ha de garantir que no es dona la situació de perill descrita. El termini màxim per a realitzar la notificació és de 72 hores.
No reaccionar a temps davant aquestes bretxes no tan sols ens pot comportar una sanció per part de l’agència, sinó també la pèrdua de control sobre les dades personals, danys en la reputació o pèrdua de confidencialitat de dades subjectes al secret professional.
La notificació es realitza a través de la seu electrònica de l’agència, on també rebem les seves comunicacions, com, per exemple, si necessitem aportar més informació (en aquest cas tindrem el termini de 30 dies) o si tenim l’obligació de comunicar-ho als afectats.
Com actuarà l’agència davant aquesta comunicació?
L’actuació pot ser d’ofici i a instància de part, i la seva decisió final dependrà del cas concret, això sí, seguint una mateixa línia de resolució. Des de PymeLegal hem comprovat que amb la pro activitat de les empreses i un bon assessorament és possible que expedients que podien acabar en sanció hagin sigut arxivats, sense cap amonestació.
Al llarg del debat, també s’han tractat altres temes d’interès com la ciberseguretat, la importància de realitzar còpies de seguretat i tenir els mitjans de seguretat adequats o intel·ligència artificial, entre altres.
En conclusió
Els pilars fonamentals per a poder fer front a les bretxes de seguretat són la formació als treballadors i les comunicacions diligents a l’agència, junt amb una gran implicació de les persones que ho gestionen.
Respecte a la formació, els usuaris han de saber quins riscos existeixen i estar conscienciats de què aquesta situació els pot succeir.
Si esteu interessats en una formació a mida per a la vostra empresa o en un curs per als vostres empleats, no dubteu en posar-vos en contacte amb nosaltres o registrar-vos directament a la nostra acadèmia, per aprendre el que heu de saber en matèria de protecció de dades. Actualment, tenim un descompte especial del 40% amb el codi “PYME-RGPD2021”.
Veient la bona acollida del tema, hem decidit realitzar una sessió formativa sobre bretxes i sancions per als nostres clients i partners; us anirem informant.
I recordeu, per a qualsevol dubte o consulta que tingueu al respecte, estem a la vostra disposició.
L’equip de PymeLegal.