La notificació de les violacions de seguretat és una obligació del responsable i de l'encarregat del tractament, que es desenvolupa, fonamentalment, en els articles 33 i 34 de l'RGPD. L'article 33 es refereix a les obligacions de notificació del responsable a l'Autoritat de Control i de l'encarregat al responsable, mentre que l'article 34 es refereix a les obligacions de notificació a l'interessat.
Però el que subjau a aquesta obligació de notificació és una obligació més àmplia per al responsable. Implícitament, es demana al responsable que implementi un procediment de gestió d'incidents de seguretat que afectin dades de caràcter personal.
En primer lloc, és necessari definir què és una violació de la seguretat i, per a això, és necessari remetre'ns a l'article 4, titulat Definicions, que en l'apartat 12 es defineix aquest concepte:
És qualsevol violació de la seguretat que «ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra forma, o la comunicació o accés no autoritzats a aquestes dades».
En cas que l'encarregat del tractament pateixi una violació de seguretat, l'ha de notificar sense dilació al responsable. L'RGPD no indica ni el format d'aquesta notificació ni el termini màxim perquè es faci aquesta notificació, ja que el termini establert per al responsable es fixa a partir del coneixement de la violació de seguretat. Per tant, el responsable ha de fixar les obligacions de notificació de l'encarregat, de tal manera que li permeti complir els requisits que a aquest responsable sí que obliga l'RGPD, en particular, amb relació a les dades que és necessari notificar a tercers.
El responsable ha de notificar la violació de la seguretat, sempre que existeixi risc per als drets i les llibertats de les persones físiques, risc que ha de ser avaluat pel responsable.
És necessari tenir en compte el que estableix el considerant 85, que estableix un cas específic sobre l'excepció d'informar les autoritats de control: tenint en compte el principi de responsabilitat proactiva, en cas que el responsable pugui demostrar la improbabilitat que la violació de la seguretat de les dades personals comporti un risc per als drets i les llibertats de les persones físiques.
El responsable ha de notificar la violació de seguretat a l'autoritat competent i els interessats, que en el primer cas, amb relació a les administracions públiques, i sens perjudici del que estableix la normativa nacional amb relació a les competències de les autoritats autonòmiques de protecció de dades, és l'Agència Espanyola de Protecció de Dades.
La notificació als interessats ha de fer-se en estreta cooperació amb l'autoritat de control, seguint les seves orientacions o les d'altres autoritats competents, com les autoritats policials.
L'RGPD estableix una sèrie d'excepcions a la necessitat de comunicar la violació als interessats, quan:
- El responsable del tractament ha adoptat mesures de protecció tècniques i organitzatives apropiades i aquestes mesures s'han aplicat a les dades personals afectades per la violació de la seguretat, en particular les que fan inintel·ligibles les dades personals per a qualsevol persona que no està autoritzada a accedir-hi, com pot ser el cas de les dades xifrades.
- El responsable ha pres mesures ulteriors que garanteixen que ja no existeix la probabilitat que es materialitzi el risc alt per als drets i les llibertats de l'interessat.
- El fet que aquesta comunicació suposi un esforç desproporcionat. En aquest cas, s'optarà en el seu lloc per una comunicació pública o una mesura semblant per la qual se n'informi de manera igualment efectiva els interessats.
Cal tenir en compte que la decisió del responsable de no notificar els interessats pot ser revocada per l'Autoritat de Control, la qual pot exigir que aquesta notificació s'executi.
La notificació de la violació a l'autoritat de control s'ha de produir abans de 72 hores, és a dir, durant els tres dies següents al coneixement pel responsable de l'existència de la violació. És a dir, fins que no existeixi evidència de coneixement pel responsable no s'inicia el còmput dels terminis. Però la norma deixa oberta la possibilitat d'una notificació més enllà de les 72 hores sense establir cap condició o restricció, només l'obligació d'adjuntar a la notificació una justificació del perquè d'aquesta dilació.
La comunicació de la violació a l'Autoritat de Control va més enllà de la mera indicació que s'ha produït la violació. Al contrari, l'RGPD detalla un conjunt de dades que és obligat incorporar-hi, com a mínim:
- Una descripció de la naturalesa de la violació de la seguretat de les dades personals. Per descriure la naturalesa cal incloure-hi, sempre que sigui possible:
- Les categories d'interessats afectats, és a dir, quin tipus de persones han estat afectades per la violació. Aquesta classificació pot atendre la vulnerabilitat dels interessats, com menors o discapacitats, la relació amb l'empresa, com clients o empleats, o la rellevància dels subjectes, com podrien ser jutges o policies.
- El nombre aproximat d'interessats afectats. És recomanable desglossar aquest nombre per a les categories anteriors.
- Les categories de dades compromeses. Això significa que no és necessària una descripció exhaustiva dels diferents camps de dades, sense descriure-les de manera genèrica, tenint especial atenció d'assenyalar les dades que són especialment sensibles.
- El nombre aproximat de registres de dades personals afectats.
- Comunicar el nom i les dades de contacte del delegat de protecció de dades o, si escau, d'un altre punt de contacte en què pugui obtenir-se'n més informació. Aquestes opcions no són exclusives.
- Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
- Descriure les mesures adoptades o proposades pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals. Això ha d'incloure, si escau, les mesures adoptades per mitigar els possibles efectes negatius
Hem de destacar que aquesta informació és un mínim, no un màxim. És important assenyalar que en la redacció de l'RGPD es considera de manera implícita que és recomanable afegir-hi qualsevol informació addicional que permeti a l'Autoritat de Control prendre accions presents futurs per garantir la protecció dels drets dels interessats, i que l'AEPD i els seus funcionaris tenen l'obligació de guardar secret de la informació rebuda en el marc de les seves actuacions.
Gran part d'aquesta informació no es podrà proporcionar en aquest termini de 72 hores, per la qual cosa l'RGPD estableix la prioritat de fer una comunicació a l'Autoritat en aquest termini, encara que sigui incompleta, i l'obligació de mantenir informada a l'Autoritat de les noves dades relatives a la violació que vagin apareixent.
La notificació als interessats no té un termini temporal establert en l'RGPD. Només s'hi assenyala que ha de produir-se com més aviat millor, tenint en compte, en particular, la naturalesa i gravetat de la violació de la seguretat de les dades personals i les conseqüències i els efectes adversos que pot tenir per a l'interessat.
S'han de comunicar a l'interessat tant el nom i les dades de contacte del delegat de protecció de dades o d'un altre punt de contacte en què pugui obtenir-se més informació de les possibles conseqüències de la violació de la seguretat de les dades personals, com les mesures adoptades o proposades pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius. Aquesta informació ha de traslladar-se a l'interessat amb un llenguatge clar i senzill, per la qual cosa ha d'adequar-se a la categoria del subjecte i la seva capacitat per entendre la informació que se li subministra. L'objectiu d'aquesta notificació és que l'interessat pugui conèixer les implicacions del que ha passat i quines mesures personals pot adoptar per protegir els seus drets. Per tant, ha de ser una informació eminentment pràctica.
El responsable ha d'implementar un procediment documentat de gestió de les violacions de seguretat. Aquest procediment ha de registrar tots els fets relacionats amb la violació. A més, cal incloure-hi una avaluació de si s'hi ha aplicat tota la protecció tecnològica adequada i s'han pres les mesures organitzatives oportunes per detectar la violació de seguretat. Cal registrar els efectes produïts per la violació, que poden anar més enllà del compromís de les dades de caràcter personal i poden ser relatius a la prestació de determinats serveis, per exemple. Al seu torn, s'han de documentar les mesures correctives tant per minimitzar els efectes de la violació com evitar que torni a produir-se.
Tota aquesta informació ha de posar-se a disposició de les autoritats de control en la seva missió de verificar, si escau, la diligència del responsable en el tractament de les dades i en la gestió de la violació de seguretat.