La Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó ayer, 25 de mayo de 2021, la nueva versión de su “Guía para la Notificación de Brechas de Datos Personales” (“Guía”).
La autoridad de control española había publicado la primera versión de la Guía en junio de 2018, año en el que empezó a aplicarse el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
La principal finalidad de la Guía es proporcionar a los responsables del tratamiento instrucciones respecto a sus obligaciones de notificar a las autoridades de control (artículo 33 del RGPD) las brechas de seguridad que afecten a datos personales y, en su caso, a los propios afectados por la brecha (artículo 34 del RGPD).
La nueva versión de la Guía incluye la experiencia recogida desde la aplicación del RGPD por la AEPD, otras autoridades de control y el Comité Europeo de Protección de Datos. Asimismo, la nueva versión de la Guía recoge algunas indicaciones más claras respecto a la versión anterior sobre las obligaciones de los responsables del tratamiento en esta materia. Por ejemplo, la AEPD ha aclarado que el plazo de 72 horas para notificar una brecha de seguridad a la autoridad de control incluye las horas transcurridas durante fines de semana y días festivos.
Puedes consultar la nueva versión de la Guía pulsando aquí.