El Reglamento General de protección de datos define una brecha de seguridad como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
La pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización, el borrado accidental de algunos registros, un ataque ransomware, etc., constituyen violaciones de seguridad y deben ser tratadas como la norma establece.
En el artículo 34 del (RGPD) además también se establece la obligación del responsable de comunicar las brechas de datos personales a la autoridad de control, los afectados, personas físicas, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.
En el caso de España, la Autoridad de Control a la que hay que notificar es la Agencia Española de Protección de Datos (AEPD)