Procediment de bretxes de seguretat
Compliment art. 33-34 RGPD. Última actualització: 03/05/2026
Si has detectat una possible bretxa (accés no autoritzat,
exfiltració de dades, pèrdua de control sobre informació personal,
ransomware, etc.):
Què és una bretxa de seguretat?
Segons l'art. 4.12 RGPD, una bretxa és tota violació de la seguretat que ocasioni la destrucció, pèrdua, alteració, comunicació o accés no autoritzat a dades personals.
En el context d'un despatx jurídic, exemples típics inclouen:
- Accés no autoritzat a expedients d'altres clients (per error de permisos o atac)
- Pèrdua/robatori de dispositiu amb dades de clients
- Phishing reeixit que ha permès l'entrada al sistema
- Documents enviats a l'adreça incorrecta (tercer no autoritzat)
- Compromís de credencials d'accés a portals judicials (Lexnet, Cl@ve, etc.)
Procediment intern (timeline obligatori)
| Hora | Acció | Responsable |
|---|
| T = 0 |
Detecció + obertura del formulari intern. Email automàtic a tots els admins. |
Qui detecta |
| T + 2h |
Avaluació inicial. Decisió: incident menor (no notificable) vs bretxa (notificable). |
Admins |
| T + 6h |
Contenció: rotació de claus, revocació tokens, reset comptes afectats, aïllament de dispositius compromisos. |
Admin tècnic |
| T + 24h |
Anàlisi forense bàsic. Documentació al registre intern de bretxes. |
Admin tècnic |
| T + 72h |
Si la bretxa és notificable: notificació a l'AEPD via sedeagpd.gob.es (formulari oficial). |
Admin (Oriol) |
| Sense dilació |
Si afecta directament drets o llibertats de persones físiques: comunicació individual als afectats. |
Admin (Oriol) |
Què documentar (obligatori, art. 33.5 RGPD)
- Naturalesa de la bretxa (categoria de dades, nombre estimat afectats)
- Conseqüències probables (incloent risc per a drets/llibertats)
- Mesures preses i previstes per mitigar efectes
- Datació i evidències disponibles
Quan NO cal notificar a l'AEPD
- Quan no hi ha probabilitat de risc per als drets i llibertats de les persones (ex: dades xifrades, claus no compromeses)
- L'admin documenta la decisió al registre intern, però NO presenta formulari AEPD
Especificitat jurídica
Per a un despatx d'advocats, una bretxa té implicacions deontològiques addicionals:
- Secret professional (art. 542.3 LOPJ + art. 32 EGAE) — pot ser una infracció disciplinària
- Comunicació al client afectat sense dilació, més enllà del procediment RGPD
- Possible comunicació al ICAB per a infraccions greus
Notificar bretxa ara
Última actualització: 27 d'abril de 2026
