L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la ‘Guia ‘Guia per a la gestió i notificació de bretxes de seguretat’ 
al costat d'ISMS Forum i en col·laboració amb el Centre Criptològic Nacional (CCN) i INCIBE. L'objectiu d'aquest document és oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguin com evitar-les i com procedir en cas que es produeixin.
Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.
D'acord amb el Reglament, quan el responsable del tractament tingui coneixement que s'ha produït una bretxa de la seguretat de les dades personals ha de notificar-ho sense dilació a l'autoritat de control competent, i a tot tardar en les 72 hores següents a haver tingut constància d'ella. Aquesta notificació a l'Agència ha de realitzar-se tret que sigui improbable que aquesta bretxa de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.
Si la bretxa de seguretat comporta un alt risc per als drets i llibertats de les persones (com, per exemple, l'accés il·lícit a usuaris i contrasenyes d'un servei), a més de la comunicació a l'autoritat de control, el responsable del tractament deu, addicionalment, comunicar als afectats la bretxa de seguretat amb llenguatge clar i senzill i de forma concisa i transparent.
La ‘Guia per a la gestió i notificació de bretxes de seguretat’ va dirigida a responsables de tractaments de dades personals amb l'objectiu de facilitar l'aplicació del RGPD quant a l'obligació de notificar a l'autoritat competent i, si escau, als afectats, de manera que la notificació a l'autoritat competent es faci pel canal adequat, contingui informació útil i precisa, i s'adeqüi a les noves exigències del RGPD. Per elaborar el document també s'ha comptat amb la participació de nombrosos professionals i experts del sector, recollint l'experiència i coneixement d'empreses que tenen implantats procediments de gestió d'incidents de seguretat.
Aquesta guia pretén cobrir l'ampli ventall del teixit empresarial espanyol, tant pimes com a grans empreses i, de la mateixa manera, pot ser d'ajuda als responsables i encarregats de tractaments de les Administracions Públiques involucrats en les tasques de gestió de les bretxes de seguretat.
El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.
Finalment, la notificació d'una fallida de seguretat no implica la imposició d'una sanció de forma directa, ja que és necessari analitzar la diligència de responsables i encarregats i les mesures de seguretat aplicades.
El llançament de la ‘Guia per a la gestió i notificació de bretxes de seguretat’ completa els manuals d'ajuda que l'Agència Espanyola de Protecció de Dades ha presentat per facilitar l'adaptació de les organitzacions al RGPD, entre els quals es troben el Llistat de compliment normatiu i les guies per a Responsables de tractaments de dades personals, Compliment del deure informar, Elaboració de contractes entre responsables i encarregats, Anàlisis de riscos i Avaluacions d'impacte, a més de l'eina Facilita_RGPD per a empreses que tractin dades d'escàs risc.
