L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la ‘Guia ‘Guia per a la gestió i notificació de bretxes de seguretat’ 
al costat d'ISMS Forum i en col·laboració amb el Centre Criptològic Nacional (CCN) i INCIBE. L'objectiu d'este document és oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguen com evitar-les i com procedir en cas que es produïsquen.
Amb anterioritat a l'aplicació del RGPD, l'obligació de notificar a l'Agència les bretxes de seguretat que pogueren afectar a dades personals se cenyia exclusivament a operadors de servicis de comunicacions electròniques i prestadors de servicis de confiança. Des del passat 25 de maig, esta obligació passa a ser aplicable a qualsevol responsable d'un tractament de dades personals, la qual cosa subratlla la importància que totes les entitats coneguen com gestionar-les.
D'acord amb el Reglament, quan el responsable del tractament tinga coneixement que s'ha produït una bretxa de la seguretat de les dades personals ha de notificar-ho sense dilació a l'autoritat de control competent, i a tot tardar en les 72 hores següents a haver tingut constància d'ella. Esta notificació a l'Agència ha de realitzar-se llevat que siga improbable que aquesta bretxa de la seguretat constituïsca un risc per als drets i les llibertats de les persones físiques.
Si la bretxa de seguretat comporta un alt risc per als drets i llibertats de les persones (com, per exemple, l'accés il·lícit a usuaris i contrasenyes d'un servici), a més de la comunicació a l'autoritat de control, el responsable del tractament deu, addicionalment, comunicar als afectats la bretxa de seguretat amb llenguatge clar i senzill i de forma concisa i transparent.
La ‘Guia per a la gestió i notificació de bretxes de seguretat’ va dirigida a responsables de tractaments de dades personals amb l'objectiu de facilitar l'aplicació del RGPD quant a l'obligació de notificar a l'autoritat competent i, si escau, als afectats, de manera que la notificació a l'autoritat competent es faça pel canal adequat, continga informació útil i precisa, i s'adeqüe a les noves exigències del RGPD. Per a elaborar el document també s'ha comptat amb la participació de nombrosos professionals i experts del sector, arreplegant l'experiència i coneixement d'empreses que tenen implantats procediments de gestió d'incidents de seguretat.
Esta guia pretén cobrir l'ampli ventall del teixit empresarial espanyol, tant pimes com a grans empreses i, de la mateixa manera, pot ser d'ajuda als responsables i encarregats de tractaments de les Administracions Públiques involucrats en les tasques de gestió de les bretxes de seguretat.
El document està estructurat en cinc grans blocs: el primer està dedicat a la detecció i identificació de bretxes de seguretat, incloent detalls sobre com ha d'estar preparada l'organització; el segon inclou un apartat dedicat al pla d'actuació, en el qual es presenten els aspectes bàsics sobre com procedir davant un incident; a continuació s'oferixen detalls sobre com analitzar-ho amb precisió i, finalment, s'aprofundix en el procés de resposta i la notificació de la mateixa a l'autoritat de control.
Finalment, la notificació d'una fallida de seguretat no implica la imposició d'una sanció de forma directa, ja que és necessari analitzar la diligència de responsables i encarregats i les mesures de seguretat aplicades.
El llançament de la ‘Guia per a la gestió i notificació de bretxes de seguretat’ completa els manuals d'ajuda que l'Agència Espanyola de Protecció de Dades ha presentat per a facilitar l'adaptació de les organitzacions al RGPD, entre els quals es troben el Llistat de compliment normatiu i les guies per a Responsables de tractaments de dades personals, Compliment del deure informar, Elaboració de contractes entre responsables i encarregats, Anàlisis de riscos i Avaluacions d'impacte, a més de la ferramenta Facilita_RGPD per a empreses que tracten dades d'escàs risc.
