La Agencia Española de Protección de Datos ha publicado una nueva versión de la guía para la notificación de brechas de datos personales. El objetivo de este documento es guiar a los responsables de los tratamientos de datos personales en el cumplimiento de sus obligaciones de notificación a la AEPD de las brechas de datos personales y de la comunicación a las personas que se han visto afectadas por la misma.
En esta nueva versión se introduce la experiencia acumulada durante los primeros años de aplicación de las obligaciones recogidas en los artículos 33 y 34 del RGPD sobre brechas de seguridad. Por tanto, se incluyen directrices respecto a plazos y aspectos concretos sobre el procedimiento de notificación de las brechas.
El responsable del tratamiento deberá implantar el proceso de gestión de brechas en su organización; evaluar las consecuencias para los derechos y libertades de las personas; notificar la brecha de datos personales a la AEPD; y en su caso, comunicar la brecha a las personas afectadas.
A la hora de evaluar el riesgo de una brecha, deben tenerse en cuanta los siguientes factores: tipología; naturaleza, carácter sensible y el volumen de los datos personales, facilitad de identificación de las personas; gravedad de las consecuencias para los derechos y libertades de las personas; características particulares del responsable del tratamiento; número de personas afectadas; y consideraciones generales. El parámetro determinante para notificar una brecha de datos personales a la AEPD es el nivel de riesgo.
Para más información, pueden encontrar la guía para la notificación de brechas de datos personales a través del siguiente enlace: https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf
