A Axencia Española de Protección de Datos (AEPD) presentou a ‘Guía para a xestión e notificación de brechas de seguridade’ 
xunto a ISMS Forum e en colaboración co Centro Criptolóxico Nacional (CCN) e INCIBE. O obxectivo deste documento é ofrecer ás organizacións tanto recomendacións preventivas como un plan de actuación, de forma que coñezan como evitalas e como proceder no caso de que se produzan.
Con anterioridade á aplicación do RGPD, a obriga de notificar á Axencia as brechas de seguridade que puidesen afectar a datos persoais cinguíase exclusivamente a operadores de servizos de comunicacións electrónicas e prestadores de servizos de confianza. Desde o pasado 25 de maio, esta obriga pasa a ser aplicable a calquera responsable dun tratamento de datos persoais, o que subliña a importancia de que todas as entidades coñezan como xestionalas.
De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Se a brecha de seguridade entraña un alto risco para os dereitos e liberdades das persoas (como, por exemplo, o acceso ilícito a usuarios e contrasinais dun servizo), ademais da comunicación á autoridade de control, o responsable do tratamento debe, adicionalmente, comunicar aos afectados a brecha de seguridade con linguaxe clara e sinxela e de forma concisa e transparente.
A ‘Guía para a xestión e notificación de brechas de seguridade’ vai dirixida a responsables de tratamentos de datos persoais co obxectivo de facilitar a aplicación do RGPD no relativo á obriga de notificar á autoridade competente e, no seu caso, aos afectados, de modo que a notificación á autoridade competente fágase pola canle adecuada, conteña información útil e precisa, e adecúese ás novas esixencias do RGPD. Para elaborar o documento tamén se contou coa participación de numerosos profesionais e expertos do sector, recollendo a experiencia e coñecemento de empresas que teñen implantados procedementos de xestión de incidentes de seguridade.
Esta guía pretende cubrir o amplo abanico do tecido empresarial español, tanto pemes como grandes empresas e, do mesmo xeito, pode ser de axuda aos responsables e encargados de tratamentos das Administracións Públicas involucrados nas tarefas de xestión das brechas de seguridade.
O documento está estruturado en cinco grandes bloques: o primeiro está dedicado á detección e identificación de brechas de seguridade, incluíndo detalles sobre como debe estar preparada a organización; o segundo inclúe un apartado dedicado ao plan de actuación, no que se presentan os aspectos básicos sobre como proceder ante un incidente; a seguir ofrécense detalles sobre como analizalo con precisión e, por último, profúndase no proceso de resposta e a notificación da mesma á autoridade de control.
Por último, a notificación dunha quebra de seguridade non implica a imposición dunha sanción de forma directa, xa que é necesario analizar a dilixencia de responsables e encargados e as medidas de seguridade aplicadas.
El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personales, Cumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, además de la herramienta Facilita_RGPD para empresas que traten datos de escaso riesgo.
