La Agencia Española de Protección de Datos (“AEPD”) publicó ayer, 2 de abril de 2020, una entrada en su blog dedicada a las brechas de seguridad. En ella, resalta que la situación de emergencia generada por el COVID-19 aumenta los riesgos en materia de protección de datos a los que se exponen todas las entidades y organizaciones, circunstancia que conlleva una mayor posibilidad de ser víctimas de ciberataques de todo tipo.
Como ya lo ha hecho en otros comunicados emitidos como consecuencia del Estado de Alarma recientemente decretado, la AEPD señala que las obligaciones impuestas por la normativa de protección de datos, entre las que se incluye la notificación de brechas de seguridad a la AEPD y a los afectados, siguen siendo plenamente aplicables.
Por tanto, los responsables del tratamiento deberán seguir cumpliendo con dicha obligación, si procede, en caso de sufrir una brecha de seguridad. A estos efectos, la Sede Electrónica de la AEPD continúa estando operativa.
Recordamos que el plazo previsto para realizar la notificación a la autoridad de control de una brecha de seguridad es de 72 horas.
La publicación de esta nota aclaratoria confirma el criterio que adelantamos en el Webinar celebrado el pasado 24 de marzo.
Puede consultar el texto completo en el siguiente enlace.
The Spanish Data Protection Agency ("AEPD") published yesterday, April 2, 2020, an entry in its blog dedicated to data breaches. In it, the AEPD highlights that the emergency situation generated by the COVID-19 increases data protection risks to which all entities and organisations are exposed, so it is more likely to suffer all kinds of cyber-attacks.
As it has already informed in other communication issued as a result of the recently decreed State of Alarm, the AEPD points out that the obligations imposed by the data protection regulations, including the notification of data breaches to the AEPD and to those data subjects affected, are still fully applied.
Therefore, data controllers must continue to comply with such obligations in the event of a data breach. To this end, the AEPD's Electronic Office is still operational.
We recall that the data breach notification deadline to the supervisory authority is 72 hours.
The publication of this explanatory note confirms the criteria we advanced in the Webinar held on March 24th.
You can access the complete AEPD’s note in the following link (only available in Spanish).