A Axencia Española de Protección de Datos (AEPD) presentou a ‘Guía para a xestión e notificación de brechas de seguridade’ 
junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.
Con anterioridade á aplicación do RGPD, a obriga de notificar á Axencia as brechas de seguridade que puidesen afectar a datos persoais cinguíase exclusivamente a operadores de servizos de comunicacións electrónicas e prestadores de servizos de confianza. Desde o pasado 25 de maio, esta obriga pasa a ser aplicable a calquera responsable dun tratamento de datos persoais, o que subliña a importancia de que todas as entidades coñezan como xestionalas.
De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Se a brecha de seguridade entraña un alto risco para os dereitos e liberdades das persoas (como, por exemplo, o acceso ilícito a usuarios e contrasinais dun servizo), ademais da comunicación á autoridade de control, o responsable do tratamento debe, adicionalmente, comunicar aos afectados a brecha de seguridade con linguaxe clara e sinxela e de forma concisa e transparente.
A ‘Guía para a xestión e notificación de brechas de seguridade’ vai dirixida a responsables de tratamentos de datos persoais co obxectivo de facilitar a aplicación do RGPD no relativo á obriga de notificar á autoridade competente e, no seu caso, aos afectados, de modo que a notificación á autoridade competente fágase pola canle adecuada, conteña información útil e precisa, e adecúese ás novas esixencias do RGPD. Para elaborar o documento tamén se contou coa participación de numerosos profesionais e expertos do sector, recollendo a experiencia e coñecemento de empresas que teñen implantados procedementos de xestión de incidentes de seguridade.
Esta guía pretende cubrir o amplo abanico do tecido empresarial español, tanto pemes como grandes empresas e, do mesmo xeito, pode ser de axuda aos responsables e encargados de tratamentos das Administracións Públicas involucrados nas tarefas de xestión das brechas de seguridade.
O documento está estruturado en cinco grandes bloques: o primeiro está dedicado á detección e identificación de brechas de seguridade, incluíndo detalles sobre como debe estar preparada a organización; o segundo inclúe un apartado dedicado ao plan de actuación, no que se presentan os aspectos básicos sobre como proceder ante un incidente; a seguir ofrécense detalles sobre como analizalo con precisión e, por último, profúndase no proceso de resposta e a notificación da mesma á autoridade de control.
Por último, a notificación dunha quebra de seguridade non implica a imposición dunha sanción de forma directa, xa que é necesario analizar a dilixencia de responsables e encargados e as medidas de seguridade aplicadas.
O lanzamento da ‘Guía para a xestión e notificación de brechas de seguridade’ completa os manuais de axuda que a Axencia Española de Protección de Datos presentou para facilitar a adaptación das organizacións ao RGPD, entre os que se atopan a Listaxe de cumprimento normativo e as guías para Responsables de tratamentos de datos persoais, Cumprimento do deber de informar, Elaboración de contratos entre responsables e encargados, Análises de riscos e Avaliacións de impacto, ademais da ferramenta Facilita_RGPD para empresas que traten datos de escaso risco.
