Comunicació d’incidències en la seguretat de les dades personals

En compliment de la legislació vigent en matèria de protecció de dades de caràcter personal (articles 33 i 34 RGPD), el responsable del tractament de dades personals ha de posar en coneixement de l'Autoritat de Control competent (Agència Espanyola de Protecció de Dades / Autoritat Catalana de Protecció de Dades) els incidents de seguretat que puguin afectar la confidencialitat, la integritat i/o la disponibilitat de les dades de caràcter personal que gestiona, sigui directament o bé a través d'un encarregat del tractament.
S'entén a aquests efectes com a "incident" o "incidència de seguretat" qualsevol circumstància que pugui comportar un perill per a la seguretat de les dades: per exemple, la sostracció o la pèrdua d'un PC, d'un ordinador portàtil o d'un dispositiu USB que contingui fitxers amb dades personals de pacients o treballadors de l'entitat; la recepció d'un correu electrònic a o des dels servidors de correu de Mútua Terrassa amb un fitxer sospitós de ser un programari maliciós o virus informàtic; l'esborrat accidental de dades en format electrònic, de les quals no hi hagi una còpia de seguretat; l'arxiu de dades (documentació en paper o fitxers informàtics) en un lloc accessible per a tercers no autoritzats; la detecció de dades manifestament incorrectes en la Història clínica d'un pacient; la tramesa de resultats de proves diagnòstiques a un tercer; els accessos indeguts per part de professionals a històries clíniques, sense una relació assistencial amb el pacient; la sospita que un tercer no autoritzat hagi pogut tenir coneixement del codi d'usuari i de la clau d'accés d'un altre usuari dels sistemes de Mútua Terrassa; trobar documentació amb dades personals en escombraries o en impressores amb accés per tercers; detectar ordinadors sense bloquejar als quals puguin tenir accés persones no autoritzades, etc.

Qui pot comunicar una incidència?
Qualsevol persona que tingui coneixement d'una possible incidència ha de comunicar-ho immediatament, perquè el termini legal per a informar l'Autoritat de Control és de només 72 hores naturals; sens perjudici que, de les gestions posteriors fetes per a conèixer les circumstàncies i abast de la incidència, es pugui concloure que no s'ha produït efectivament la violació de seguretat i/o un perjudici per als drets dels interessats.

Com s’ha de comunicar una incidència?
Es posa a disposició de tots els usuaris dels sistemes d'informació de Mútua Terrassa un formulari, mitjançant el qual s'haurà de notificar qualsevol incident del qual es tingui coneixement i que pugui afectar a la seguretat de qualsevol tipologia de dades de caràcter personal que siguin tractades per Mútua Terrassa (pacients, treballadors, proveïdors de serveis, col·laboradors externs...), i independentment del format d'aquestes dades (suport paper o en fitxers informàtics).
Ompliu el formulari que apareix en el següent apartat