En la infografía que publicaba la Agencia Española de Protección de datos en su página web sobre la comunicación a los afectados de una brecha digital, se recoge el contenido mínimo de la comunicación:
1. Naturaleza:- Se ha de describir que ha ocurrido si se trata de un ciberincidente, ciberataque, envío de datos por error, etc.
- A qué datos ha afectado, si se trata de datos básicos, de contacto, email, usuario y contraseñas, copias de DNI, etc.
- De qué manera se ha producido, si es por un acceso ilegítimo, datos extraídos, alterados, etc.
2. Consecuencias
- Que impacto puede tener sobre las personas, si supone un menoscabo de los derechos fundamentales, fraude o daños físicos o psicológicos, entre otras.
- A qué datos ha afectado, si se trata de datos básicos, de contacto, email, usuario y contraseñas, copias de DNI, etc.
- Si existen circunstancias agravantes, por ejemplo, porque la contraseña comprometida se usa en otros servicios, etc.
3. Medidas
- Identificar que medidas se han aplicado para minimizar las consecuencias sobre las personas.
4. Identificación
- Identificación comercial y pública del responsable y datos de contacto del DPD.
En la comunicación no se deben omitir detalles relevantes, para que las personas puedan valorar el riesgo de forma adecuada.