Notificación de una brecha de seguridad de los datos personales a la autoridad de control

El Reglamento General de Protección de Datos (RGPD) define una “brecha de  seguridad de datos personales” como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En su artículo 33 se regula la necesaria notificación, por parte del responsable de tratamiento, de brechas de seguridad de los datos personales a la autoridad de control competente sin dilación indebida y, de ser posible a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Agencia Española de Protección de Datos, en colaboración con el Centro Criptológico Nacional y con el Instituto Nacional de Ciberseguridad, ha editado una “Guía para la gestión y notificación de brechas de seguridad”, con el objeto de facilitar a los responsables de tratamiento la identificación de dichos incidentes y cómo gestionar su notificación a la autoridad de control. A estos efectos, la Agencia ha elaborado dos herramientas, denominadas Comunica Brecha RGPD y Asesora Brecha RGPD, con el objeto de ayudar a la decisión sobre la realización las notificaciones a la autoridad de control por un lado y de la comunicación a los afectados por otro. Estas herramientas han sido integradas en la página web del Consejo.

Informes del Consejo sobre brechas de seguridad

Orientaciones para comunicación a afectados por brechas de seguridad pdf

Análisis y recomendaciones sobre brechas sector público pdf

Informe brechas anual 2023 pdf

Informe brechas primer semestre 2023 pdf