El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como "brechas de datos personales", de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece.

En este sentido, los daños producidos por una brecha de datos personales pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una brecha de datos personales cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.

La mera sospecha de que ha existido una brecha o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

Cuando se produzca una violación de la seguridad de los datos (brecha de datos personales), el responsable debe notificarla:

1. A la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación de la brecha a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. La notificación ha de incluir un contenido mínimo:
   
   1. la naturaleza de la violación
   2. categorías de datos y de interesados afectados
   3. medidas adoptadas por el responsable para solventar la brecha
   4. si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las brechas de datos personales sufridas.
2. A los afectados en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los mismos, de forma que la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
   El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la brecha.
   Esta notificación a los afectados no será necesaria cuando:
   1. El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
   2. Cuando el responsable haya tomado con posterioridad a la brecha medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
   3. Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

En casos de brechas que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

Puede haber casos en que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la complejidad en determinar completamente su alcance. En esos casos, es posible hacer la notificación con posterioridad, acompañándola de una explicación de los motivos que han ocasionado el retraso.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

La AEPD estableció en su momento un canal específico para la notificación de las brechas de datos personales en el ámbito de las comunicaciones electrónicas, único en que hasta ahora resultaba obligatoria la notificación en aplicación de las previsiones de la Directiva 2002/58 y la normativa nacional de trasposición.

En este sentido, puede utilizarse este canal específico para la notificación de las determinadas brechas de datos personales:

https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/nbs/guiadoBrechasInicio.jsf