El nou marc legal en matèria de protecció de dades personals estableix unes mesures molt estrictes en relació amb les violacions de seguretat que es puguin produir en els tractaments de dades personals que les organitzacions realitzen.

Aquesta resolució actualitza la Resolució de 18 de gener del 2012 per la que es regula el procediment de notificació, gestió i resposta davant les incidències de seguretat que afectin les dades de caràcter personal, i adapta el seu procediment al que disposa el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril del 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (en endavant, RGPD). Un dels trets característics del nou marc legal en matèria de protecció de dades és la necessitat de notificar a les autoritats de control (en el cas de la UPF, a l’Autoritat Catalana de Protecció de Dades) en un termini de 72 hores les violacions de seguretat que eventualment es puguin produir,  així com de comunicar a les persones interessades les violacions de seguretat que puguin suposar un alt risc per als seus drets i llibertats.

D’acord amb l’article 73 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (en endavant, LOPDGDD), l’incompliment del deure de notificar a l’autoritat de control competent o de comunicar a la persona afectada la violació de seguretat pot suposar la comissió d’una infracció greu per part de la Universitat.

En vista d’aquesta normativa, es fa necessari actualitzar el procediment de notificació i gestió de les violacions de seguretat que es puguin produir a la Universitat en relació amb els tractaments de dades personals que realitza.

És per això, que en ús de les competències que m'atorga l'article 52 dels Estatuts de la Universitat Pompeu Fabra,

 

HE RESOLT:

Article primer.- Aprovar el procediment de notificació i gestió de les violacions de seguretat de les dades personals tractades per la Universitat Pompeu Fabra, que consta a l’annex d’aquesta resolució.

 

Article segon.- Autoritzar al gerent perquè adopti les mesures oportunes per desplegar i executar aquesta resolució.

 
Disposició derogatòria única

Es deroga la Resolució de 18 de gener del 2012 per la que es regula el procediment de notificació, gestió i resposta davant les incidències de seguretat que afectin les dades de caràcter personal.

 

Disposició final única

Aquesta resolució entra en vigor a partir de l’endemà de la seva publicació.

 

 

Oriol Amat i Salas

Rector

Barcelona, 26 d’octubre del 2021

 

ANNEX

 

PROCEDIMENT DE NOTIFICACIÓ I GESTIÓ DE LES VIOLACIONS DE SEGURETAT DE LES DADES PERSONALS TRACTADES PER LA UNIVERSITAT POMPEU FABRA

 

Article 1. Objecte i àmbit d’aplicació

1. L’objecte d’aquest procediment és establir els mecanismes de notificació i gestió de les violacions de seguretat que es puguin produir en els tractaments de dades personals per part de la Universitat. S’entén per violació de seguretat de les dades personals qualsevol situació que suposi la destrucció, pèrdua, alteració accidental o il·lícita, comunicació, accés o publicació no autoritzada de dades personals tractades per la Universitat Pompeu Fabra, tant en qualitat de responsable del tractament com d’encarregada del tractament.
2. Aquest procediment és d’aplicació a PDI, PAS, estudiants, personal subcontractat per la UPF i qualsevol persona que interactuï amb la Universitat que tingui coneixement d’una violació de seguretat de les dades personals tractades per aquesta.

 

Article 2. Procediment de comunicació interna

1. Qualsevol persona que tingui indicis d’una possible violació de seguretat de les dades personals ho haurà de comunicar de manera immediata i sense dilació indeguda al delegat de Protecció de Dades de la Universitat mitjançant l’adreça de correu electrònic [email protected]
2. La comunicació haurà de contenir:

a. Dia i hora de la detecció de la violació de seguretat i, si es coneix, moment en què va començar.
b. Descripció de la violació de seguretat amb indicació, si és possible, del:

  • Tipus de violació (eliminació o pèrdua, alteració indeguda, comunicació indeguda, publicació, etc.)
  • Abast de la violació (número de persones afectades, número de persones que han tingut accés indegut a informació, etc.)
  • Tipus de dades afectades (dades identificatives, dades acadèmiques, dades econòmiques, dades de salut, etc.)

c. Si escau, mesures adoptades o proposades per evitar o minimitzar els possibles danys.
d. Dades identificatives i de contacte de la persona que fa la comunicació.
e. Qualsevol altra informació que es consideri d'utilitat per la gestió de la violació de seguretat.

 

Article 3. Comprovació de la comunicació interna

1. Immediatament després de rebre la comunicació d’una possible violació de seguretat, el delegat de Protecció de Dades haurà d’analitzar-la a fi de comprovar-ne l’existència i el seu possible abast.
2. Donat que existeix un termini únicament de 72 hores entre la detecció d’una possible violació de seguretat i la seva notificació a les autoritats de control, les tasques de comprovació d’una possible violació de seguretat hauran de rebre el suport immediat de la resta de personal de la Universitat.
3. Si es confirmés l’existència d’una violació de seguretat, el delegat de Protecció de Dades avisarà de manera immediata el gerent i el cap de servei o unitat administrativa o investigador principal del grup de recerca responsable de la gestió del tractament de dades personals afectades.
4. El delegat de Protecció de Dades, juntament amb el cap de servei o unitat administrativa o investigador principal del grup de recerca involucrat o persona en qui delegui, determinaran de manera conjunta l’abast de la situació i les propostes d’actuacions a realitzar per solucionar o mitigar la violació de seguretat, així com per mirar d’evitar que en el futur es torni a produir.
5. Es podrà sol·licitar la col·laboració del responsable de seguretat TIC si la seva intervenció es considera necessària en l’execució de les tasques indicades en el punt anterior.

 

Article 4. Notificació a l’autoritat de control

1. Correspon al gerent, en aplicació de l’article 2.i) de la Resolució del rector de 4 de desembre del 2018 de mesures organitzatives en l’àmbit de la protecció de dades de caràcter personal a la UPF, notificar a l’Autoritat Catalana de Protecció de Dades (en endavant, APDCAT), d’acord amb allò previst a l’article 33 de l’RGPD, les violacions de seguretat de les dades personals responsabilitat de la Universitat Pompeu Fabra.
2. El delegat de Protecció de Dades de la Universitat elaborarà una proposta de notificació a dirigida a l’APDCAT que contindrà els elements detallats a l’article 33.3 de l’RGPD.
3. El delegat de Protecció de Dades enviarà la proposta de notificació al gerent amb temps suficient perquè aquest la pugui revisar, fer-ne modificacions si ho estima oportú i trametre-la a l’APDCAT dins el termini de 72 hores a partir de la detecció de la violació de seguretat establert per la legislació.

 

Article 5. Comunicació als afectats

1. En cas que una violació de seguretat de dades personals pugui comportar un alt risc per als drets i llibertats de les persones afectades, la Universitat els ho comunicarà sense dilació indeguda.
2. No caldrà fer aquesta comunicació quan:

a. La Universitat hagi adoptat mesures de protecció tècniques i organitzatives adequades a les dades personals afectades per la violació de seguretat, en especial les que facin inintel·ligibles les dades personals per a qualsevol persona que no estigui autoritzada a accedir-hi, com el xifrat;
b. La Universitat hagi pres mesures posteriors que garanteixin que ja no existeix la possibilitat que es materialitzi l'alt risc per als drets i les llibertats dels interessats.

3. Aquesta comunicació descriurà la naturalesa de la violació, les possibles conseqüències, les mesures adoptades i les recomanacions perquè les persones puguin mitigar els potencials efectes adversos.
4. Les persones afectades podran demanar que la Universitat les tingui informades de l’evolució de la violació de seguretat.
5. Correspon al gerent, en vista de la proposta realitzada pel delegat de Protecció de Dades, decidir sobre la conveniència o no de comunicar una violació de seguretat a les persones afectades.
6. En cas que el gerent consideri convenient comunicar una violació de seguretat a les persones afectades, correspon al delegat de Protecció de Dades efectuar aquesta comunicació i fer el seguiment de la violació de seguretat.
7. Quan la comunicació a les persones afectades impliqui un esforç desproporcionat, caldrà valorar la conveniència d’una comunicació pública o una mesura equivalent, que informi els interessats de manera igualment efectiva.

 

Article 6. Seguiment de les violacions de seguretat notificades

1. Correspon al delegat de Protecció de Dades fer la interlocució amb l’APDCAT en relació amb les notificacions de violacions de seguretat que la Universitat realitzi.
2. Correspon al delegat de Protecció de Dades fer el seguiment de les actuacions que s’hagi determinat efectuar per resoldre o minimitzar els efectes de la violació de seguretat, així com per evitar que la situació es pugui reproduir en un futur.
3. El delegat de Protecció de Dades informarà periòdicament el gerent i els caps dels serveis, unitats administratives o investigadors principals dels grup de recerca implicats en el tractament de la violació de seguretat fins que aquesta no es pugui donar per tancada i s’hagi pogut verificar l’efectivitat de les mesures adoptades en conseqüència.

 

Article 7. Registres en relació amb les violacions de seguretat de protecció de dades personals

1. Correspon al delegat de Protecció de Dades mantenir un registre de les violacions de seguretat en matèria de protecció de dades personals que la Universitat hagi notificat a l’APDCAT.
2. El Registre de violacions de seguretat contindrà:

a. Dia i hora de coneixement dels fets.
b. Un codi d’identificació.
c. La tipificació de la violació de seguretat.
d. Dia i hora dels fets (si es coneixen).
e. Un resum de l’incident.
f. La relació de fets.
g. La relació de dades afectades.
h. La relació de persones afectades.
i. Els possibles efectes sobre les persones afectades.
j. Còpia de la notificació a l’APDCAT.
k. Anàlisi de la necessitat o no de comunicació a les persones afectades.
l. Si és el cas, còpia de la notificació a les persones afectades.
m. Relació de mesures correctores o mitigadores dutes a terme.
n. Relació de mesures dutes a termes per evitar que la violació de seguretat es reprodueixi.
o. Dia i hora del tancament de la violació de seguretat.

3. Correspon al delegat de Protecció de Dades mantenir també un registre de situacions de risc, el qual contindrà informació relativa a aquells esdeveniments que van ser notificats com a possible violació de seguretat, però que finalment es van descartar.
4. El Registre de situacions de risc també contindrà informació sobre situacions en què va existir un risc significatiu de materialitzar-se una violació de seguretat, però que gràcies a les actuacions empreses aquesta es va evitar.
5. Al Registre de violacions de seguretat i al Registre de situacions de risc podrà accedir l’equip de direcció de la Universitat, en especial el gerent i el secretari general, així com les persones que aquests puguin indicar.

 

Article 8. Encàrrecs de tractament i corresponsabilitat en el tractament de dades personals

1. En cas que es detectin indicis d’una possible violació de seguretat en un tractament de dades personals dut a terme per la Universitat en qualitat d’encarregada del tractament per compte d’un tercer o com a corresponsable del tractament juntament amb altres organismes, caldrà notificar la possible violació de seguretat al delegat de Protecció de Dades de la Universitat d’acord amb allò establert a l’article 2 d’aquesta resolució.
2. El delegat de Protecció de Dades assessorarà els caps dels serveis, unitats administratives o investigadors principals dels grups de recerca responsables de la gestió de l’encàrrec de tractament respecte de les actuacions a realitzar d’acord amb la legislació vigent i allò establert al document regulador de l’encàrrec de tractament o l’acord de corresponsabilitat.
3. En cas que la Universitat encarregui el tractament de dades personals a tercers, aquests hauran de notificar les possibles violacions de seguretat a la Universitat d’acord amb allò establert en aquest procediment. La notificació a l’APDCAT i, si escau, la comunicació a les persones afectades, la realitzarà la Universitat, excepte que a l’encàrrec de tractament s’estableixi un procediment diferent.