A Axencia Española de Protección de Datos (AEPD) presentou a ‘Guía para a xestión e notificación de brechas de seguridade’ 
xunto a ISMS Forum e en colaboración co Centro Criptolóxico Nacional (CCN) e INCIBE. O obxectivo deste documento é ofrecer ás organizacións tanto recomendacións preventivas como un plan de actuación, de forma que coñezan como evitalas e como proceder no caso de que se produzan.
Con anterioridade á aplicación do RGPD, a obriga de notificar á Axencia as brechas de seguridade que puidesen afectar a datos persoais cinguíase exclusivamente a operadores de servizos de comunicacións electrónicas e prestadores de servizos de confianza. Desde o pasado 25 de maio, esta obriga pasa a ser aplicable a calquera responsable dun tratamento de datos persoais, o que subliña a importancia de que todas as entidades coñezan como xestionalas.
De acordo con o Regulamento, cando o responsable do tratamento teña coñecemento de que se produciu unha brecha da seguridade dos datos persoais debe notificalo sen dilación á autoridade de control competente, e como moi tarde nas 72 horas seguintes a ter constancia dela. Esta notificación á Axencia debe realizarse a menos que sexa improbable que dita brecha da seguridade constitúa un risco para os dereitos e as liberdades das persoas físicas.
Se a brecha de seguridade entraña un alto risco para os dereitos e liberdades das persoas (como, por exemplo, o acceso ilícito a usuarios e contrasinais dun servizo), ademais da comunicación á autoridade de control, o responsable do tratamento debe, adicionalmente, comunicar aos afectados a brecha de seguridade con linguaxe clara e sinxela e de forma concisa e transparente.
A ‘Guía para a xestión e notificación de brechas de seguridade’ vai dirixida a responsables de tratamentos de datos persoais co obxectivo de facilitar a aplicación do RGPD no relativo á obriga de notificar á autoridade competente e, no seu caso, aos afectados, de modo que a notificación á autoridade competente fágase pola canle adecuada, conteña información útil e precisa, e adecúese ás novas esixencias do RGPD. Para elaborar o documento tamén se contou coa participación de numerosos profesionais e expertos do sector, recollendo a experiencia e coñecemento de empresas que teñen implantados procedementos de xestión de incidentes de seguridade.
Esta guía pretende cubrir o amplo abanico do tecido empresarial español, tanto pemes como grandes empresas e, do mesmo xeito, pode ser de axuda aos responsables e encargados de tratamentos das Administracións Públicas involucrados nas tarefas de xestión das brechas de seguridade.
O documento está estruturado en cinco grandes bloques: o primeiro está dedicado á detección e identificación de brechas de seguridade, incluíndo detalles sobre como debe estar preparada a organización; o segundo inclúe un apartado dedicado ao plan de actuación, no que se presentan os aspectos básicos sobre como proceder ante un incidente; a seguir ofrécense detalles sobre como analizalo con precisión e, por último, profúndase no proceso de resposta e a notificación da mesma á autoridade de control.
Por último, a notificación dunha quebra de seguridade non implica a imposición dunha sanción de forma directa, xa que é necesario analizar a dilixencia de responsables e encargados e as medidas de seguridade aplicadas.
O lanzamento da ‘Guía para a xestión e notificación de brechas de seguridade’ completa os manuais de axuda que a Axencia Española de Protección de Datos presentou para facilitar a adaptación das organizacións ao RGPD, entre os que se atopan a Listaxe de cumprimento normativo e as guías para Responsables de tratamentos de datos persoais, Cumprimento do deber de informar, Elaboración de contratos entre responsables e encargados, Análises de riscos e Avaliacións de impacto, ademais da ferramenta Facilita_RGPD para empresas que traten datos de escaso risco.
