Incidència LOPD, com actuar?
Darrerament ha estat notícia la incidència LOPD de seguretat de la web de cites Ashley Madison. Més enllà de la revolada social que ha aixecat, el cas és que és cada vegada més habitual que es donin a conèixer aquest tipus de casos que poden afectar la seguretat de les dades.
La regulació actual en relació a com actuar en cas d’incidència, difereix en funció de quin tipus d’empresa l’ha sofert, però aquesta situació pot canviar en el cas que s’acabi aprovant el tantes vegades esmentat Reglament General de Protecció de Dades.
Què fer en cas d’una incidència LOPD?
El RLOPD, defineix incidència com “qualsevol anomalia que afecti o pogués afectar a la seguretat de les dades” i també regula que el procés de “notificació, gestió i resposta“, ha de quedar recollit en el Document de Seguretat.
Aquesta obligació resulta aplicable per a qualsevol empresa o entitat que tracti dades personals, amb independència del nivell de seguretat exigible a les mateixes. Essencialment doncs, qualsevol empresa que tracti dades, haurà de disposar d’un sistema per registrar cada incidència on s’inclogui, almenys, “el tipus d’incidència, el moment en què s’ha produït, o si escau, detectat, la persona que realitza la notificació, a qui se li comunica, els efectes que s’haguessin derivat de la mateixa i les mesures correctores aplicades“.
En el cas que l’empresa tracti dades de nivell mig o alt, a més de l’anterior haurà de registrar “els procediments realitzats de recuperació de les dades, indicant la persona que va executar el procés, les dades restaurades i, si escau, quines dades ha estat necessari gravar manualment en el procés de recuperació“.
Ha de comunicar-se a l’AEPD o a la persona afectada per la incidència LOPD?
A data d’avui, no. Aquesta obligació és únicament exigible actualment als operadors de serveis de comunicacions electròniques que segons la Llei General de Telecomunicacions (art. 41) hauran de comunicar, sense dilacions, les violacions que puguin afectar a dades personals, a l’AEPD i en cas que aquesta violació o incidència, pogués afectar “a la intimitat o a les dades personals d’un abonat”, aquesta comunicació haurà d’incloure al propi afectat.
En el futur què?
L’obligació de notificar les incidències en matèria de protecció de dades, va ser inclosa des de la primera versió del Reglament General de Protecció de Dades, presentada en el llunyà gener de 2012. Aquest mes de juny, s’ha presentat una última versió que manté aquesta obligació per a qualsevol tipus d’empresa.
A falta de veure com queda finalment, s’inclou la *obligació de notificar les incidències en un termini màxim de 72 hores a l’AEPD (en el cas d’Espanya) i als afectats (sense determinar termini), sempre que la mateixa pugui tenir un elevat risc d’afectar “als drets i llibertats de les persones, com la discriminació, robatori d’identitat o frau, pèrdues financeres, dany a la reputació, reversió no autoritzada en un procés de *pseudonomizació, pèrdua de confidencialitat de dades protegides pel secret professional o altres pèrdues econòmiques o desavantatges socials“.
Veurem com queda, però en cas que el Reglament avanci, les obligacions de les empreses en cas d’incidències, podrien augmentar significativament.
Si teniu dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!