Lo primero que tenemos que plantearnos es si todos los incidentes que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación no autorizada a dichos datos, deben ser notificados a la autoridad de control competente.
El RGPD lo que dispone es que, siempre y cuando esos incidentes de seguridad supongan un riesgo para los derechos y las libertades de las personas físicas, se tienen que notificar, a más tardar en el plazo de 72hrs desde su conocimiento. Aunque parezca que las brechas de seguridad solamente afecten a grandes empresas, estas pueden ocurrir en cualquier entidad independientemente de su tamaño.
En la guía de la AEPD sobre gestión y notificación de brechas de seguridad, a modo orientativo, encontramos en su anexo III un modelo que puede servir de referencia para tomar la decisión de notificar a la autoridad de control. El cálculo del posible riesgo se obtiene de tres parámetros: volumen, tipología de datos e impacto. Cada uno de ellos está valorado con un rango. Así, por ejemplo, en el caso de que el riesgo de valor cuantitativo esté en un umbral superior a 20 (más o menos) y coincidan dos circunstancias cualitativas, habría que notificarla a la autoridad.
IMPORTANTE
La comunicación se realizará presentando el formulario de notificación de incidentes de seguridad de datos personales. Se puede encontrar en la sede electrónica de la AEPD.
