Si voleu fer una notificació complementària d’una violació de seguretat ja notificada, cliqueu aquest enllaç.

Notificació a l'APDCAT (art. 33 RGPD).

Si es produeix una violació de la seguretat de les dades que comporta un risc per als drets i les llibertats de les persones físiques, les entitats responsables del tractament incloses en l'àmbit d'actuació de l'APDCAT l'han de notificar a l'Autoritat, en un termini màxim de 72 hores des que n’han tingut constància. Si es notifica més enllà d'aquest termini, cal indicar-ne els motius (art. 33 RGPD). Si no es poden facilitar tots els detalls sobre l’incident de seguretat en el moment de la notificació inicial, es pot fer gradualment, tan aviat com es disposi de la informació.

Comunicació a les persones afectades (art. 34 RGPD)

Si la violació de seguretat pot comportar un risc alt per als drets i llibertats dels titulars de les dades, el responsable també l’ha de comunicar a les persones afectades, tret que:

• Hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
• Hagi aplicat mesures posteriors que garanteixen que el risc alt ja no es pot materialitzar.
• Suposi un esforç desproporcionat; en aquest cas, es pot optar per una comunicació pública o una mesura equivalent.

Què pot passar, si no es notifica una violació de la seguretat de les dades?

Si una violació pot comportar risc per als drets i les llibertats de les persones físiques i no es notifica, o bé es notifica passades les 72 hores sense raons que ho justifiquin, es pot vulnerar una obligació prevista a l’RGPD. Aquestes vulneracions poden comportar que s’exerceixin poders d’investigació i correctius, inclosa una multa, si escau.