-
Una violació de la seguretat de les dades es produeix quan les dades personals que tracta un responsable o un encarregat del tractament pateixen un incident de seguretat que dona lloc a la violació de la confidencialitat, disponibilitat o integritat de les dades.
-
Si la violació posa en risc els drets i les llibertats d’una persona, tal com fixa la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el responsable del tractament ho ha de notificar a l’autoritat de control tan aviat com sigui possible i, com a molt tard, 72 hores després –incloses les hores transcorregudes en caps de setmana i dies festius– que el responsable tingui constància que l’incident de seguretat ha afectat dades personals. Si la notificació no té lloc en aquest termini, s’han de justificar els motius de la dilació. L’encarregat del tractament ha de notificar cada violació de la seguretat de les dades al responsable del tractament.
-
Quan en el moment de la notificació no és possible facilitar tota la informació necessària, el responsable del tractament ha d’informar-ne de manera gradual, com més aviat millor i sense dilació.
-
D’acord amb la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, si la violació de la seguretat de les dades suposa un risc alt per a les persones afectades, aquestes persones també n’han de ser informades tan aviat com sigui raonablement possible.
-
Quan el responsable del tractament notifica una violació de seguretat a l’autoritat de control, d’acord amb la Llei 29/2021, com a mínim, ha de:
- a) Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectats.
- b) Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte del qual es pot obtenir més informació.
- c) Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
- d) Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.
-
La notificació es fa amb el formulari corresponent de l’Agència Andorrana de Protecció de Dades. L’Agència pot requerir la informació addicional necessària i emetre l’ordre o la comunicació oportuns, i també establir el termini en què el responsable ha d’atendre el requeriment.
-
Si considera que no hi ha riscos per als drets i les llibertats de les persones físiques, el responsable ha de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets relacionats amb la violació de seguretat, els seus efectes i les mesures correctives adoptades, perquè l’autoritat de control pugui verificar el compliment del principi de responsabilitat proactiva.
B
BOPA·CHAT← Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
191 versions
Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
How this article evolved across every version of the law.
Notificació de violacions de seguretat
Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.