¿Qué ocurre en los casos de brechas de gran impacto?

En casos de brechas que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

Puede haber casos en que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la complejidad en determinar completamente su alcance. En esos casos, es posible hacer la notificación con posterioridad, acompañándola de una explicación de los motivos que han ocasionado el retraso.

La información puede también proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación inicial antes del plazo de las 72 horas.

El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Los riesgos que una brecha de datos pueden suponer para la organización, como la pérdida de reputación o la pérdida de cuota de mercado, no son los riesgos que el RGPD exige para valorar la comunicación de datos a los interesados.