El Reglamento General de Protección de Datos introduce la comunicación de las denominadas brechas de seguridad a la autoridad de control de protección de datos, así como en determinadas circunstancias a los afectados. Por su parte, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados con fines de prevención, detección, investigación, y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, también contempla esta comunicación en similares términos.

A efectos de realizar la comunicación a la autoridad de control de protección de datos, debemos diferenciar si la brecha afectase a un tratamiento jurisdiccional, ya que en ese caso habría que comunicarlo a la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, o si por el contrario afectase a un tratamiento no jurisdiccional, puesto que la comunicación debería realizarse a la Agencia Española de Protección de Datos.

Esta comunicación deberá realizarse cuando la brecha sufrida suponga un riesgo para los derechos y libertades de las personas físicas. Asimismo, también se les comunicará a éstos por quien haya sufrido la brecha en caso de que suponga un alto riesgo para los citados derechos.

Para facilitar todo se pone a disposición lo siguiente:

• Procedimiento para la notificación y gestión de brechas de seguridad que puedan sufrir los datos personales tratados con fines jurisdiccionales
• Formulario para notificar la brecha de seguridad a la Dirección de Supervisión y Control de Protección de Datos.