Informar sobre las brechas de seguridad que sufren los responsables de tratamiento es una obligación desde la entrada en vigor del Reglamento General de Protección de Datos. Desde entonces, muchos negocios se han metido en líos por no hacerlo bien y a tiempo (el plazo es de 72 horas). La Agencia Española de Protección de Datos ya lanzó una guía específica sobre este tema allá por 2018 y ahora, para completar su esfuerzo, lanza una nueva herramienta que guía a las empresas y organizaciones en el proceso de decidir si tienen o no la obligación de informar. Se trata de la herramienta Comunica-Brecha RGPD.
En propias palabras de la AEPD: “Comunica-Brecha RGPD es un recurso de utilidad para que cualquier organización, responsable de un tratamiento de datos personales, pueda valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos.”
La herramienta funciona como un cuestionario en el que el usuario tendrá que ir contestando una serie de preguntas sobre el sector de la empresa, sobre la naturaleza de la brecha, y los datos e individuos que se han visto afectado para entregar finalmente un informe en el que se recoge si existe o no la obligatoriedad de informar.
Es importante puntualizar que los datos que se recogen en el formulario no son almacenados y son totalmente anónimos. Por lo tanto, el uso de la herramienta tampoco constituye un acto de información ante la AEPD para lo cual se deben seguir los canales oficiales.
Informar correctamente y a tiempo sobre brechas de seguridad no solo es un requerimiento legal sino que es un acto que la AEPD valora muy positivamente a la hora de imponer o no sanciones. Como es el caso de la empresa PromoFarma que a principios de año fue eximida de sanción gracias a la diligencia que mostró en la gestión de una brecha de seguridad que sufrió.
Esta herramienta se usa a otras herramientas puestas en marcha por la autoridad española con el fin de facilitar el cumplimiento de la normativa en protección de datos como Facilita RGPD (para informar sobre el tratamiento de datos), Informa RGPD (canal para DPOs), Gestiona RGPD (asistente para análisis de riesgos y evaluaciones de impacto).