Índex de continguts
Introducció: el rellotge corre (72 hores)
Quan una empresa pateix un hackeig o una filtració de dades personals, la prioritat immediata sol ser tècnica: contenir l’incident i restaurar els sistemes. Tanmateix, des del punt de vista legal, el Reglament General de Protecció de Dades (RGPD) activa un rellotge implacable.
Davant d’una bretxa de seguretat que pugui afectar als drets i llibertats de les persones, no n’hi ha prou amb solucionar el problema tècnic. L’organització ha de ser capaç de demostrar que va informar correctament i a temps tant a l’autoritat de control com, en el seu cas, als interessats.
En aquests escenaris, la velocitat, la traçabilitat i la prova documental marquen la diferència entre una gestió diligent i una sanció milionària.
Obligacions legals davant d’una bretxa de seguretat
El RGPD estableix un marc d’actuació molt concret quan es produeix una violació de seguretat de les dades personals.
Notificació a l’autoritat de control (AEPD)
L’empresa ha de notificar la bretxa a l’Agència Espanyola de Protecció de Dades en un termini màxim de 72 hores des que té constància de l’incident, llevat que sigui improbable que entrani un risc per als drets i llibertats de les persones físiques.
Comunicació als interessats
Quan la bretxa suposi un alt risc, l’empresa ha d’informar directament a cadascun dels afectats, de forma clara i comprensible.
Responsabilitat proactiva (accountability)
No n’hi ha prou amb afirmar que es va enviar una comunicació. L’empresa ha de poder demostrar de forma fefaent que va actuar amb diligència, que va notificar i que ho va fer dins dels terminis legals.
Per què l’email ordinari és insuficient en un hackeig
En un procediment sancionador, l’autoritat formularà una pregunta clau:
Com pot demostrar que va notificar a aquests usuaris concrets i quina informació van rebre exactament?
El correu electrònic convencional no ofereix garanties suficients:
- No proporciona una prova de lliurament amb validesa legal.
- No acredita el contingut exacte rebut pel destinatari.
- Pot ser impugnat fàcilment si l’usuari nega haver rebut la notificació.
- Si el servidor de l’empresa està compromès, manca d’independència probatòria.
En aquests casos, resulta imprescindible recórrer a un tercer de confiança extern que certifiqui la comunicació.
Casos d’ús d’eEvidence en crisis de ciberseguretat
L’evidència electrònica certificada es converteix en una peça clau del pla de resposta davant d’incidents.
Notificació massiva i certificada als afectats
Quan una bretxa afecta a milers o desenes de milers de persones, eEvidence permet realitzar enviaments massius automatitzats, generant un certificat individual per cada destinatari.
Aquesta evidència és directament utilitzable davant d’una auditoria o inspecció de l’AEPD.
Certificació del contingut exigit pel RGPD
El RGPD exigeix que la comunicació inclogui, com a mínim:
- La naturalesa de la bretxa de seguretat.
- Les dades de contacte del Delegat de Protecció de Dades (DPO) o punt d’informació.
- Les mesures adoptades o recomanades per mitigar el risc.
eEvidence certifica que aquest contingut concret va ser lliurat, preservant una còpia íntegra i segellada en el temps.
Mitigació de sancions
La transparència, la rapidesa i la traçabilitat documental són factors atenuants en la graduació de les sancions. Disposar de proves tècniques sòlides demostra diligència i redueix significativament el risc econòmic i reputacional.
Resum executiu: gestió de crisis i notificació RGPD
| Requisit RGPD | Risc d’incompliment | Solució amb eEvidence |
|---|---|---|
| Termini urgent | Multes de fins a 20 M€ o el 4% de la facturació | Notificació massiva immediata |
| Prova de lliurament | Indefensió davant de l’AEPD | Certificat amb segell de temps |
| Integritat del missatge | Negació del contingut rebut | Petjada criptogràfica del contingut |
| Càrrega de la prova | Obligació de demostrar diligència | Evidència tècnica descarregable |
Checklist d’emergència: “He patit un hackeig, quins passos segueixo ara?”
Si la teva empresa ha detectat una bretxa de seguretat, aquest és el protocol recomanat:
Identificar i contenir
Localitza l’origen de l’incident i aïlla els sistemes afectats.Avaluar el risc
Determina quines categories de dades han estat exposades, especialment si afecten a dades sensibles.Notificar a l’AEPD (72 hores)
Informa a l’autoritat de control, encara que encara no disposis de tots els detalls.Identificar als afectats
Delimita amb precisió quines persones han de ser informades.Comunicar de forma certificada (pas crític)
- Evita usar servidors interns compromesos.
- Utilitza eEvidence per a la notificació.
- Inclou descripció de la bretxa, mesures adoptades i recomanacions a l’usuari.
Custodiar l’evidència
Descarrega i conserva els certificats de lliurament com a prova de diligència proactiva.Revisar i millorar
Actualitza les teves polítiques de seguretat i el teu pla de resposta davant d’incidents.
Preguntes freqüents (FAQ)
És obligatori informar sempre als afectats després d’una bretxa?
Només quan existeixi un alt risc per als seus drets i llibertats, però la càrrega de la prova recau en l’empresa.
L’email certificat és vàlid davant de l’AEPD?
Sí. L’evidència emesa per un tercer de confiança és plenament admissible en procediments sancionadors.
Què ocorre si no puc demostrar la notificació?
L’absència de prova fefaent pot derivar en sancions greus, fins i tot encara que la notificació s’hagués realitzat de forma informal.
Conclusió
En una bretxa de seguretat, el problema no acaba quan es tanca la vulnerabilitat tècnica. El veritable risc comença si l’empresa no pot demostrar que va actuar amb rapidesa, transparència i diligència.
L’email certificat converteix la notificació RGPD en un procés segur, traçable i defensable, permetent a les organitzacions afrontar una crisi de ciberseguretat amb garanties legals i reduir de forma significativa l’impacte sancionador i reputacional.
A punt per començar?
Contacta'ns per compartir el teu projecte de negoci o registra't ara per començar a provar els nostres serveis avui