A Axencia Española de Protección de Datos (AEPD) presentou a ‘Guía para a xestión e notificación de brechas de seguridade’ 
xunto a ISMS Forum e en colaboración co Centro Criptolóxico Nacional (CCN) e INCIBE. O obxectivo deste documento é ofrecer ás organizacións tanto recomendacións preventivas como un plan de actuación, de forma que coñezan como evitalas e como proceder no caso de que se produzan.
Con anterioridade á aplicación do RGPD, a obriga de notificar á Axencia as brechas de seguridade que puidesen afectar a datos persoais cinguíase exclusivamente a operadores de servizos de comunicacións electrónicas e prestadores de servizos de confianza. Desde o pasado 25 de maio, esta obriga pasa a ser aplicable a calquera responsable dun tratamento de datos persoais, o que subliña a importancia de que todas as entidades coñezan como xestionalas.
De acordo con o Regulamento, cando o responsable do tratamento teña coñecemento de que se produciu unha brecha da seguridade dos datos persoais debe notificalo sen dilación á autoridade de control competente, e como moi tarde nas 72 horas seguintes a ter constancia dela. Esta notificación á Axencia debe realizarse a menos que sexa improbable que dita brecha da seguridade constitúa un risco para os dereitos e as liberdades das persoas físicas.
Se a brecha de seguridade entraña un alto risco para os dereitos e liberdades das persoas (como, por exemplo, o acceso ilícito a usuarios e contrasinais dun servizo), ademais da comunicación á autoridade de control, o responsable do tratamento debe, adicionalmente, comunicar aos afectados a brecha de seguridade con linguaxe clara e sinxela e de forma concisa e transparente.
La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.
Esta guía pretende cubrir o amplo abanico do tecido empresarial español, tanto pemes como grandes empresas e, do mesmo xeito, pode ser de axuda aos responsables e encargados de tratamentos das Administracións Públicas involucrados nas tarefas de xestión das brechas de seguridade.
O documento está estruturado en cinco grandes bloques: o primeiro está dedicado á detección e identificación de brechas de seguridade, incluíndo detalles sobre como debe estar preparada a organización; o segundo inclúe un apartado dedicado ao plan de actuación, no que se presentan os aspectos básicos sobre como proceder ante un incidente; a seguir ofrécense detalles sobre como analizalo con precisión e, por último, profúndase no proceso de resposta e a notificación da mesma á autoridade de control.
Por último, a notificación dunha quebra de seguridade non implica a imposición dunha sanción de forma directa, xa que é necesario analizar a dilixencia de responsables e encargados e as medidas de seguridade aplicadas.
El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personales, Cumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, además de la herramienta Facilita_RGPD para empresas que traten datos de escaso riesgo.
