L'Agència Espanyola de Protecció de Dades (AEPD) ha presentat la ‘Guia ‘Guia per a la gestió i notificació de bretxes de seguretat’ 
al costat d'ISMS Forum i en col·laboració amb el Centre Criptològic Nacional (CCN) i INCIBE. L'objectiu d'este document és oferir a les organitzacions tant recomanacions preventives com un pla d'actuació, de manera que coneguen com evitar-les i com procedir en cas que es produïsquen.
Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.
D'acord amb el Reglament, quan el responsable del tractament tinga coneixement que s'ha produït una bretxa de la seguretat de les dades personals ha de notificar-ho sense dilació a l'autoritat de control competent, i a tot tardar en les 72 hores següents a haver tingut constància d'ella. Esta notificació a l'Agència ha de realitzar-se llevat que siga improbable que aquesta bretxa de la seguretat constituïsca un risc per als drets i les llibertats de les persones físiques.
Si la bretxa de seguretat comporta un alt risc per als drets i llibertats de les persones (com, per exemple, l'accés il·lícit a usuaris i contrasenyes d'un servici), a més de la comunicació a l'autoritat de control, el responsable del tractament deu, addicionalment, comunicar als afectats la bretxa de seguretat amb llenguatge clar i senzill i de forma concisa i transparent.
La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.
Esta guia pretén cobrir l'ampli ventall del teixit empresarial espanyol, tant pimes com a grans empreses i, de la mateixa manera, pot ser d'ajuda als responsables i encarregats de tractaments de les Administracions Públiques involucrats en les tasques de gestió de les bretxes de seguretat.
El document està estructurat en cinc grans blocs: el primer està dedicat a la detecció i identificació de bretxes de seguretat, incloent detalls sobre com ha d'estar preparada l'organització; el segon inclou un apartat dedicat al pla d'actuació, en el qual es presenten els aspectes bàsics sobre com procedir davant un incident; a continuació s'oferixen detalls sobre com analitzar-ho amb precisió i, finalment, s'aprofundix en el procés de resposta i la notificació de la mateixa a l'autoritat de control.
Finalment, la notificació d'una fallida de seguretat no implica la imposició d'una sanció de forma directa, ja que és necessari analitzar la diligència de responsables i encarregats i les mesures de seguretat aplicades.
El llançament de la ‘Guia per a la gestió i notificació de bretxes de seguretat’ completa els manuals d'ajuda que l'Agència Espanyola de Protecció de Dades ha presentat per a facilitar l'adaptació de les organitzacions al RGPD, entre els quals es troben el Llistat de compliment normatiu i les guies per a Responsables de tractaments de dades personals, Compliment del deure informar, Elaboració de contractes entre responsables i encarregats, Anàlisis de riscos i Avaluacions d'impacte, a més de la ferramenta Facilita_RGPD per a empreses que tracten dades d'escàs risc.
