En el Real Decreto 463/2020 por el que desde el 16 de marzo de 2020 se establece en España el estado de alarma para combatir la pandemia, en la disposición adicional tercera sobre suspensión de plazos administrativos se establece que “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”.

Ello ha llevado a algunos responsables a plantear dudas sobre si estaban obligados o no a notificar las brechas de seguridad en los plazos establecidos legalmente.

Al respecto, la AEPD considera que la suspensión mencionada con anterioridad no afecta a la obligación de notificar las brechas de seguridad que afecten a datos personales, por lo que los responsables y encargados del tratamiento están obligados a notificar ante la Agencia y deben seguir cumpliendo con sus obligaciones si sufrieran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas.