¿Cuándo tienes que notificar una brecha a la Agencia Española de Protección de Datos?
De acuerdo con el artículo 33 del Reglamento General de Protección de Datos (RGPD) los responsables del tratamiento de datos personales tienen la obligación de notificar a la autoridad competente (ya sea la Agencia Española de Protección de Datos (AEPD) o una autoridad Europea) la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que haya tenido constancia de la misma, salvo que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas.
Para ello, la AEPD ha lanzado “Asesora Brecha”, una herramienta que tiene como objetivo ayudar a los responsables de tratamientos a decidir si deben notificar una brecha de datos personales a la autoridad de control.
Según la AEPD, su objetivo con “Asesora Brecha” es proporcionar una herramienta gratuita y fácil de usar y para ello está ordenada en secciones ‒obligación /responsabilidad; brecha; competencia, y riesgo, confidencialidad, disponibilidad e integridad‒ de forma que no sea necesario completar el formulario íntegro en todos los casos. También es relevante que una vez finalizado, los datos aportados durante el proceso se eliminen, por lo que la AEPD no puede conocer la información aportada.
Si el resultado del análisis realizado con esta herramienta resulta en la indicación de notificar a la autoridad competente, esto se deberá realizar sin dilaciones indebidas a través del canal dedicado a estos efectos de la AEPD “Comunica/Brecha RGPD”.