Brechas de Datos: 72 Horas para Actuar, Cada Minuto Cuenta

Una brecha de datos personales, en el sentido del artículo 4.12 del RGPD (Reglamento UE 2016/679), es toda violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales. El artículo 33 del RGPD obliga al responsable del tratamiento a notificar la brecha a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde su detección cuando sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas; el artículo 34 obliga adicionalmente a comunicarla a los interesados afectados cuando ese riesgo sea alto. El artículo 33.5 RGPD obliga a registrar todas las brechas, incluso las que no se notifican a la autoridad. La notificación tardía o la omisión son infracciones autónomas sancionables con multas de hasta 10 millones de euros o el 2% de la facturación global, independientemente del daño causado por la brecha original.

Brecha de datos: el reloj de 72 horas empieza desde el conocimiento del incidente

El reloj de las 72 horas para notificar a la AEPD empieza a correr desde el momento en que existe conocimiento razonable del incidente. En la práctica, las empresas pierden horas críticas intentando entender que ha ocurrido, a quien deben notificar y como redactar la comunicación. Un error en la notificación —contenido incompleto, evaluación de riesgo incorrecta, plazo superado— convierte un incidente gestionable en una infracción grave sancionable de forma independiente al propio incidente y que puede agravarse hasta 20 millones de euros o el 4% de la facturación global. Hemos gestionado más de 60 brechas con notificación a la AEPD y ninguna ha resultado en sanción.

Protocolo de notificación AEPD y coordinación con ciber-seguro

Nuestro equipo activa el protocolo de respuesta desde el primer momento: coordinación con el equipo técnico para la contencion y preservacion de evidencias, y análisis jurídico paralelo de las obligaciones de notificación. No esperamos a tener toda la información para iniciar la notificación a la AEPD: el RGPD permite notificaciones por fases cuando la información completa no está disponible inicialmente. Esta flexibilidad es clave para cumplir el plazo de 72 horas sin sacrificar la calidad.

La coordinación con el DPO externalizado es un elemento central de nuestra capacidad de respuesta: el DPO tiene conocimiento previo del sistema de tratamiento de datos de la empresa, lo que permite acelerar significativamente el análisis de impacto. Cuando la brecha activa también las obligaciones de notificación NIS2 en 24 horas, nuestro equipo de respuesta a incidentes de ciberseguridad coordina ambas notificaciones en paralelo. La fase post-brecha incluye siempre una auditoría de privacidad para convertir el incidente en una oportunidad de mejora real del sistema de protección de datos.

Marco regulador: artículos decisivos del RGPD y la LOPDGDD

El régimen de gestión de brechas de seguridad se articula en torno a cuatro artículos del RGPD con obligaciones diferenciadas:

Artículo 33 RGPD — Notificación a la autoridad supervisora: La notificación a la AEPD es obligatoria cuando la brecha sea susceptible de constituir un riesgo para los derechos y libertades de las personas físicas. El plazo de 72 horas se computa desde el momento en que el responsable del tratamiento tiene “conocimiento” del incidente, lo que los considerandos 87 y 88 del RGPD interpretan como conocimiento razonable suficiente para evaluar el riesgo — no es necesario tener certeza absoluta ni conocer todos los detalles. La notificación puede realizarse por fases (notificación inicial + complementos posteriores) cuando la información completa no está disponible en el momento inicial.

Artículo 33.5 RGPD — Registro de brechas: Todos los responsables del tratamiento están obligados a documentar todas las brechas de seguridad, incluidas aquellas que no requieren notificación a la AEPD. El registro debe incluir: los hechos de la brecha, sus efectos y las medidas correctoras adoptadas. No existe un formato oficial obligatorio, pero la AEPD ha publicado guías específicas con los elementos mínimos recomendados.

Artículo 34 RGPD — Comunicación a los interesados: La comunicación a los afectados solo es obligatoria cuando la brecha entrañe un “alto riesgo” para sus derechos y libertades — umbral más elevado que el de la notificación a la autoridad. No tiene plazo de 72 horas, pero debe realizarse “sin dilación indebida”. Puede eximirse si el responsable ha aplicado medidas técnicas de protección (como cifrado) que hacen ininteligibles los datos para los no autorizados.

La Ley Orgánica 3/2018 (LOPDGDD) desarrolla en su artículo 90 la obligación del encargado del tratamiento de notificar al responsable las brechas que afecten a los datos que trata por cuenta de aquel, estableciendo que debe hacerlo “sin dilación indebida” y, en todo caso, dentro del plazo que permita al responsable cumplir con su propio plazo de 72 horas.

Procedimiento paso a paso: las 72 horas críticas

La gestión de una brecha de datos sigue una secuencia crítica en la que cada hora cuenta:

La AEPD ha establecido expresamente que la notificación tardía con justificación de los motivos del retraso es preferible a la omisión. El Comité Europeo de Protección de Datos (CEPD) ha publicado las Directrices 9/2022 sobre notificación de brechas, que desarrollan criterios de evaluación del riesgo aplicables en todas las jurisdicciones de la UE.

Juzgado competente y régimen sancionador

El control del cumplimiento del RGPD en España corresponde a la Agencia Española de Protección de Datos (AEPD) como autoridad supervisora designada. Los procedimientos sancionadores de la AEPD son actos administrativos impugnables ante los Juzgados Centrales de lo Contencioso-Administrativo (para sanciones a grandes empresas) o ante los Juzgados de lo Contencioso-Administrativo de la Audiencia Nacional cuando la cuantía supera determinados umbrales.

El artículo 83.4 del RGPD establece sanciones de hasta 10 millones de euros o el 2% de la facturación global por infracción de las obligaciones de notificación del artículo 33 (notificación tardía o ausente). El artículo 83.5 establece sanciones de hasta 20 millones de euros o el 4% de la facturación global para infracciones de los principios básicos del tratamiento, incluyendo las medidas de seguridad del artículo 32.

La AEPD ha publicado su Procedimiento de actuación para la gestión de brechas de seguridad con un árbol de decisión para evaluar la obligación de notificación — documento que utilizamos como referencia en todos nuestros procesos.

Caso práctico: brecha en sector salud con datos de pacientes

Un centro médico especializado en Murcia detecta el lunes a las 09:30 que un tercero no autorizado ha accedido a su sistema de historia clínica electrónica. El sistema contiene datos de aproximadamente 3.200 pacientes, incluyendo datos de salud (categoría especial conforme al artículo 9 RGPD). La brecha se produjo el viernes anterior y fue acceso de lectura, no exfiltración confirmada.

BMC activa el protocolo a las 10:00 del lunes. A las 12:00, el equipo técnico confirma el vector de acceso (credencial de empleado comprometida) y el alcance provisional (acceso a 847 expedientes). A las 16:00, evaluación de riesgo: datos de salud accedidos por tercero no autorizado = riesgo probable para derechos de los afectados, notificación a la AEPD obligatoria conforme al artículo 33.1. El miércoles a las 11:00 (dentro del plazo de 72 horas desde el conocimiento del lunes) se presenta la notificación inicial a la AEPD con los datos disponibles, indicando que la investigación forense está en curso.

El viernes siguiente se presenta la notificación complementaria con el alcance definitivo (1.247 expedientes, datos de salud, sin evidencia de exfiltración a terceros). La AEPD abre diligencias previas y solicita documentación adicional. Cuatro meses después, el expediente se archiva sin sanción: la AEPD valora positivamente la rapidez de notificación, la calidad del expediente y las medidas correctoras (MFA implementado, auditoría de accesos completada).

Cinco errores comunes que BMC corrige

Error 1: Esperar a tener certeza absoluta para notificar. El plazo de 72 horas corre desde el “conocimiento razonable” del incidente, no desde la certeza total. Esperar a completar la investigación forense antes de notificar es el error más frecuente y el que más frecuentemente genera infracciones autónomas por notificación tardía.

Error 2: Confundir la notificación a la AEPD con la comunicación a los afectados. Son obligaciones distintas con umbrales distintos: la notificación a la AEPD se activa con “riesgo probable”; la comunicación a los afectados solo con “alto riesgo”. Muchas empresas o notifican a los afectados cuando no es necesario (daño reputacional innecesario) o no los notifican cuando sí lo es (agravante sancionador).

Error 3: No documentar las brechas de bajo riesgo. El artículo 33.5 RGPD obliga a registrar todas las brechas, también las que no requieren notificación. Un incidente de envío de email con datos de cliente a dirección incorrecta que no supone riesgo relevante debe igualmente documentarse en el registro.

Error 4: No actualizar los contratos con encargados del tratamiento. Si el proveedor cloud que gestiona los datos sufre una brecha, el responsable sigue siendo la empresa cliente. Los contratos con encargados deben incluir obligación contractual de notificación dentro del plazo que permita al responsable cumplir con sus 72 horas. Sin esa cláusula, el responsable puede incumplir el plazo por culpa de su proveedor.

Error 5: No coordinar con el seguro de ciberseguridad antes de notificar. La mayoría de pólizas de ciber-seguro tienen cláusulas de notificación al asegurador con plazos específicos. Notificar a la AEPD sin haber notificado previamente al asegurador puede suponer la pérdida de cobertura. La coordinación entre las obligaciones RGPD y las condiciones de la póliza es un componente esencial de nuestra gestión de brechas.

Contexto regulatorio en España

El RGPD regula la gestión de brechas en los artículos 33 y 34. El artículo 33 obliga a notificar a la AEPD en 72 horas cuando la brecha supone riesgo para los derechos de las personas físicas. El artículo 33.5 obliga a registrar todas las brechas, incluso las que no se notifican a la autoridad. El artículo 34 obliga a comunicar a los afectados cuando el riesgo es alto, sin plazo fijo pero sin dilacion indebida. La LOPDGDD desarrolla las obligaciones del responsable y del encargado del tratamiento en el contexto español. La AEPD publica guías específicas sobre la evaluación de riesgo de brechas y el contenido de las notificaciones.

Resultados que puedes esperar

• Protocolo de respuesta activable en menos de una hora desde la detección del incidente
• Notificación a la AEPD redactada y presentada dentro del plazo de 72 horas con el contenido del artículo 33.3 RGPD
• Evaluación de riesgo documentada para determinar la obligación de comunicar a los afectados
• Registro de brechas actualizado conforme al artículo 33.5 RGPD, con toda la documentación del incidente
• Medidas correctoras técnicas y organizativas implementadas para evitar recurrencias
• Informe post-incidente para el órgano de gobierno con lecciones aprendidas y mejoras del plan de respuesta

La diferencia entre una brecha bien gestionada y una que deriva en sanción grave no está en el incidente en sí mismo: está en la calidad del protocolo de respuesta.

El RGPD impone una distincion crítica que muchas empresas no comprenden bien: la obligación de notificar a la AEPD (artículo 33) y la obligación de comunicar a los afectados (artículo 34) tienen umbrales diferentes. La notificación a la autoridad se activa cuando existe “riesgo para los derechos y libertades” de las personas, un umbral deliberadamente bajo que incluye la gran mayoría de brechas reales. La comunicación a los afectados solo es obligatoria cuando el riesgo es “alto”, lo que requiere una evaluación de impacto específica para cada brecha.

Nuestro protocolo de respuesta está diseñado para funcionar bajo presion. Desde el momento de la detección, coordinamos en paralelo la contencion técnica del incidente y el análisis jurídico de las obligaciones de notificación. No esperamos a tener toda la información para iniciar la notificación: el RGPD permite notificaciones por fases cuando la información completa no está disponible en el momento inicial, y está flexibilidad es clave para cumplir el plazo de 72 horas sin sacrificar la calidad de la comunicación.

La fase post-brecha es tan importante como la respuesta inmediata. Una brecha de datos revela sistemáticamente vulnerabilidades en el sistema de privacidad que van más allá del incidente técnico: encargados del tratamiento sin obligación contractual de notificación, períodos de conservacion excesivos que amplian el alcance de la brecha, o ausencia de cifrado en datos que podrían haberlo estado. La auditoría de privacidad que realizamos después de cada incidente convierte la brecha en una oportunidad de mejora real del sistema de cumplimiento.

La coordinación con el DPO externalizado es un elemento central de nuestra capacidad de respuesta: el DPO tiene conocimiento previo del sistema de tratamiento de datos de la empresa, lo que permite acelerar significativamente el análisis de impacto y la valoración de las obligaciones de notificación en las primeras horas críticas del incidente.

Caso práctico: brecha por ransomware en clínica dental con 3.200 pacientes

Un sábado a las 23:14 h, el sistema de gestión de una clínica dental con 3.200 pacientes activos cifró todos los archivos en el servidor local. El martes siguiente, la clínica contactó con BMC. El incidente afectaba a historias clínicas digitales, radiografías y datos de facturación, todos ellos datos de categoría especial (salud) según el art. 9 RGPD.

Cronología de la respuesta gestionada por BMC:

Por qué no hubo sanción. La AEPD aplica el principio de responsabilidad proactiva (art. 5.2 RGPD): las organizaciones que demuestran respuesta diligente, notificación en plazo y medidas de remediación proporcionadas reciben un tratamiento diferente a quienes notifican tarde o de forma incompleta. La clínica tenía copias de seguridad actualizadas, notificó en menos de 28 horas (bien por debajo del límite de 72 horas del art. 33.1 RGPD) y comunicó a los afectados en el plazo más breve posible. Estos tres factores, documentados en el expediente, fueron determinantes para el cierre sin sanción.

Integración con otros servicios BMC

La respuesta a brechas de datos es más eficaz cuando la organización tiene ya una base sólida de protección de datos:

DPO externalizado. El Delegado de Protección de Datos (DPO) externalizado de BMC actúa como punto de contacto con la AEPD en las notificaciones de brechas, coordina la respuesta interna y firma las notificaciones regulatorias. Contar con un DPO activo antes del incidente —con conocimiento de la organización, los sistemas y los contratos de encargo— reduce el tiempo de respuesta inicial en más de 8 horas respecto a improviser la gestión en el momento del incidente.

Respuesta a incidentes de ciberseguridad. Para incidentes de origen cibernético (ransomware, phishing con exfiltración, accesos no autorizados), BMC coordina la respuesta técnica de ciberseguridad con la respuesta regulatoria de protección de datos. Ambas tienen plazos distintos y equipos distintos, pero deben operar de forma sincronizada para no comprometer las evidencias forenses ni los argumentos de diligencia ante la AEPD.

Auditoría de protección de datos post-brecha. Tras el cierre del expediente con la AEPD, BMC realiza una auditoría de los sistemas y procesos de tratamiento para identificar vulnerabilidades sistémicas que el análisis forense del incidente haya revelado. Esta auditoría actualiza el Registro de Actividades de Tratamiento (RAT) y las Evaluaciones de Impacto (EIPDs) afectadas.

Métricas de éxito de nuestros encargos

Proceso de trabajo de BMC: el protocolo de las primeras 72 horas

La respuesta a una brecha de datos requiere decisiones rápidas y bien documentadas. BMC ha diseñado un protocolo de actuación para las primeras 72 horas que puede activarse a cualquier hora del día, cualquier día del año:

Primera hora: Triaje y aislamiento. El primer objetivo es detener la propagación del incidente y preservar las evidencias. BMC coordina con el equipo técnico del cliente para aislar los sistemas afectados de la red, sin apagarlos (apagar puede destruir evidencias volátiles en memoria). Simultáneamente, activamos el registro cronológico del incidente: cada acción documentada con hora, responsable y descripción.

Horas 2-6: Análisis preliminar. Determinamos la naturaleza del incidente (ransomware, acceso no autorizado, pérdida de dispositivo, error de envío), el tipo de datos afectados (categorías especiales del art. 9 RGPD, datos financieros, datos de menores), el número estimado de afectados, y si el incidente está en curso o ya contenido. Este análisis preliminar determina si la brecha cumple el umbral de notificación obligatoria a la AEPD.

Horas 6-72: Notificación a la AEPD. Si la brecha es notificable, BMC prepara y presenta la notificación al canal de la AEPD en el plazo de 72 horas. La notificación incluye: descripción de la naturaleza de la brecha, categorías y volumen aproximado de datos y afectados, probable consecuencias, medidas adoptadas o propuestas. Si no se dispone de toda la información, se notifica de forma provisional con los datos disponibles y se complementa posteriormente.

Días 3-10: Comunicación a afectados (si aplica). Si la evaluación de riesgo concluye que la brecha entraña alto riesgo para los afectados (art. 34 RGPD), BMC redacta y coordina el envío de comunicaciones individuales: lenguaje claro, descripción del incidente sin tecnicismos, datos específicos afectados de cada persona, medidas recomendadas (cambio de contraseña, alerta de fraude bancario), y datos de contacto del DPD para consultas.

Días 10-30: Remediación y cierre. Una vez contenido el incidente, BMC coordina las medidas de remediación técnica y organizativa, prepara el informe post-incidente con las lecciones aprendidas, y gestiona la respuesta a los requerimientos de información adicional de la AEPD hasta el cierre del expediente.

La importancia del registro interno de brechas. El art. 33.5 RGPD obliga al responsable del tratamiento a documentar cualquier violación de seguridad, incluyendo las que no requieren notificación a la autoridad de control. Este registro interno debe contener los hechos, los efectos y las medidas correctivas adoptadas. BMC mantiene y gestiona el registro de brechas de sus clientes, asegurando que cada incidente —sea notificable o no— queda documentado de forma que puede presentarse ante la AEPD si esta lo requiere en el contexto de una inspección.