L’ RGPD i les bretxes de seguretat
CryptoLocker: un famós ransomware
08/10/2016
La importància de tenir una còpia de seguretat
23/05/2018
El Reglament General de Protecció de Dades (RGPD) considera la pèrdua de dades personals d’una empresa una violació de seguretat, coneguda com “bretxa de seguretat”. L’ RGPD considera que s’ha produït una bretxa de seguretat quan:
- Quan es produeix la pèrdua o el robatori d’un dispositiu
- Quan hi ha un accés no autoritzat a les bases de dades (fins i tot quan ho fa algú del personal de l’empresa)
- Quan s’esborren fitxers que contenien dades personals accidentalment
- Quan un atac a la xarxa produeix una fuga d’informació
- Quan es perd documentació amb informació sensible
En produir una bretxa de seguretat, el responsable o encarregat del tractament de dades ha d’informar a l’AEPD (Agència Espanyola de Protecció de Dades) i als propis afectats en 72 hores des que es va produir la bretxa.
Excepcions
Si el responsable o encarregat pot demostrar que la bretxa no suposa un risc per als drets i llibertats dels afectats, no serà obligat a informar d’aquesta.
A més, no cal informar d’una bretxa quan:
- Quan el responsable hagi pres mesures tècniques o organitzatives abans de la bretxa. Un exemple seria xifrar les dades perquè siguin inintel·ligibles per a tercers.
- Quan el responsable hagi pres mesures, després de la bretxa, que asseguren que l’alt risc no es pot materialitzar.
- Quan la notificació suposi un esforç massa alt, de manera que s’optaria per una comunicació pública.
Sancions
L’incompliment de l’obligació de notificar les bretxes de seguretat es considera una infracció greu i les sancions per això poden ascendir als 10 milions d’euros o a una quantia equivalent al 2% del volum del negoci total anual global, depenent del valor més alt.