En el apartado de la AEPD Guías y Herramientas, encontramos la Guía para la notificación de brechas de datos personales.
En esta guía se concretan los supuestos en los que el responsable del tratamiento tiene que notificar la brecha de datos personales a los interesados afectados. Estos son todas las personas físicas cuyos datos personales se han visto afectados por una brecha y les puede ocasionar consecuencias.
El responsable deberá comunicar a la mayor brevedad posible cuando exista un alto riesgo para los derechos y libertades de las personas, la falta de confidencialidad, integridad o disponibilidad de sus datos. Incluyendo, la falta de disponibilidad de los servicios asociados a esos datos personales. Se comunicará siempre que los daños producidos sean irreversibles.
En cambio, no será necesaria la comunicación cuando, el responsable haya tomado medidas técnicas y organizativas adecuadas, que eviten los riesgos, que minimicen los daños, o bien, que los haga reversibles. Tampoco será necesaria su comunicación, cuando con posterioridad a la brecha, el responsable haya adoptado medidas que mitiguen total o parcialmente el posible impacto. Así, por ejemplo, cuando aplique medidas como la revocación, cancelación o bloqueo de credenciales de acceso o el restablecimiento del servicio y copias de seguridad que faciliten la disponibilidad e integridad de los datos.
Tanto la decisión de comunicar, o la no necesidad de comunicar debe ser documentada.
IMPORTANTE
La AEPD ha publicado el informe de brechas de seguridad del mes de marzo de 2022
