Mesures de seguretat

El Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la llibre circulació d’aquestes dades, i pel que es deroga la Directiva 95/46/CE (RGPD), estableix l’obligació per als responsables del tractament d’adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades, especialment la seva confidencialitat i integritat.
 
El RGPD no determina les mesures concretes que cal adoptar, sinó que serà cada responsable del tractament qui haurà d’avaluar els riscos inherents del tractament i aplicar les mesures per mitigar-los, tenint en compte l’estat de la tècnica i el cost de l’aplicació de les mesures, tals com  la reducció al màxim del tractament de dades, la seudonimització de les dades o el xifrat o codificació de la informació.
 
Tot i que el RGPD no estableix concretes mesures de seguretat que tinguin caràcter obligatori, pot ser adequat acudir a les mesures recollides en el RD 1720/2007, de 21 de desembre, que aprova el reglament que desenvolupa la LOPD:
 
  • Procediment per a la realització de còpies de seguretat i recuperació de les dades
  • Procediment d’identificació i autenticació d’usuaris autoritzats
  • Control d’accessos
  • Registre d’accessos
  • Límit d’intents reiterats d’accessos no autoritzats
  • Procediment d’assignació i gestió de contrasenyes, i periodicitat en la modificació
  • Emmagatzemament inintel·ligible de les contrasenyes actives
  • Gestió de suports
  • Designació d’un responsable de la coordinació, el control i el seguiment de les mesures de seguretat
  • Auditories
  • Mesures de seguretat en la transmissió de dades

Violacions de seguretat
 
El RGPD estableix l’obligació de comunicar a l’Autoritat de Control i a les persones interessades les violacions de seguretat que comportin o puguin comportar un alt risc per als drets i les llibertats de les persones físiques, ja siguin les persones titulars de les dades o terceres persones.
 
L’obligació establerta en el RGPD preveu que la comunicació ha de fer-se en el termini màxim de 72 hores des de que s’hagi produït la violació de seguretat o des de que se n’hagi tingut coneixement.
 
A  títol  enunciatiu,  s’entén  per  violació  de seguretat:
 
  • Destrucció de dades
  • Pèrdua o alteració accidental o il·lícita de dades personals transmeses a terceres persones
  • Comunicacions o accessos no autoritzats de dades
  • Incidències tècniques que comprometin la seguretat o la confidencialitat de les dades
 
Riscos per als drets i les llibertats de les persones interessades.
 
A títol enunciatiu, s’entén que les violacions de seguretat comporten o  poden comportar danys i perjudicis físics, materials o immaterials  per a les persones físiques en els supòsits següents:
 
  • Pèrdua de control sobre les dades
  • Restriccions de drets
  • Discriminació
  • Usurpació d’identitat
  • Pèrdues financeres
  • Reversió no autoritzada de la pseudonimització
  • Perjudicis a la reputació
  • Pèrdua de confidencialitat de dades sotmeses a secret professional
  • Qualsevol altre perjudici econòmic o social significatiu

Per tal d’eliminar o de minimitzar els riscos o les conseqüències de les violacions de seguretat, el responsable del tractament haurà d’adoptar les mesures tècniques i organitzatives necessàries, que inclouran, almenys, les accions següent:
 
  • Pseudonimització o xifrat de les dades de caràcter personal
  • Procediments  per  garantir  la  confidencialitat,  integritat,  disponibilitat  i  resiliència permanent dels sistemes i serveis de tractament
  • Capacitat de restauració de la disponibilitat i l’accés a les dades personals de manera ràpida en cas d’incident físic o tècnic
  • Procediment de verificació, avaluació i valoració de les mesures tècniques i organitzatives
 
Documentació de les violacions de seguretat.
 
Els responsables del tractament hauran de portar un registre de les violacions de seguretat, que estarà a disposició del Delegat de Protecció de Dades i de l’Autoritat Catalana de Protecció de Dades.
 
El registre de les violacions de seguretat podrà ser en paper o per mitjans telemàtics, i haurà de contenir, almenys, la informació a què fan referència els articles 33 i 34 del RGPD i que es recullen en l’apartat 3.2 d’aquest document.

Registre de violacions de seguretat (PDF)