La Agencia Española de Protección de Datos (AEPD) ha publicado ‘Comunica-Brecha RGPD’, una herramienta que ayuda a los responsables de tratamiento en la toma de decisiones ante la obligación de comunicar una brecha de seguridad de los datos personales a los afectados.
El Reglamento General de Protección de Datos (RGPD) recoge la obligación que tienen los responsables que manejan datos personales de comunicar sin dilación a los interesados las brechas de seguridad de datos cuando sea probable que éstas entrañen un alto riesgo para los derechos y libertades de las personas físicas.
El propósito de Comunica-Brecha RGPD es promover la transparencia y responsabilidad proactiva entre los responsables, en un ejercicio que permita a los afectados por una brecha de seguridad conocer cuándo dichos derechos y libertades pueden estar en riesgo y así poder tomar las medidas que consideren apropiadas para salvaguardarlos.
Este nuevo recurso de la Agencia es gratuito, fácil de utilizar y se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de seguridad. En ningún caso la Agencia almacena los datos consignados durante el proceso.
Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios: que se debe notificar la brecha de seguridad a los afectados al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo.
El uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. De igual manera, el empleo de Comunica-Brecha RGPD para facilitar la toma de decisiones ante la obligación de comunicar brechas de seguridad a los interesados es independiente de la obligación de notificar dicha brecha a la autoridad de control.
Este nuevo recurso se suma al ‘Decálogo de recursos de ayuda de la AEPD’ para promover la concienciación y el cumplimiento del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.