Si sufre un ataque físico o informático y su consecuente brecha de seguridad genera que se vean expuestos datos personales, debe notificarse tanto a la Agencia Española de Protección de Datos como a los interesados siempre que constituya un riesgo para los derechos y las libertades de las personas.
Es importante tener en cuenta que la suspensión de plazos administrativos prevista en el Real Decreto 463/2020 que declara el estado de alarma no afecta a la obligación de notificar violaciones de seguridad de los datos.
Cabe recordar que el plazo máximo para notificar los incidentes de seguridad a la Agencia Española de Protección de datos es de 72 horas desde que se tiene constancia del incidente. Y la notificación a los interesados debe ser inmediata.