Brechas de Datos: 72 Horas para Actuar, Cada Minuto Cuenta

Una brecha de datos personales, en el sentido del artículo 4.12 del RGPD (Reglamento UE 2016/679), es toda violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales. El artículo 33 del RGPD obliga al responsable del tratamiento a notificar la brecha a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde su detección cuando sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas; el artículo 34 obliga adicionalmente a comunicarla a los interesados afectados cuando ese riesgo sea alto. El artículo 33.5 RGPD obliga a registrar todas las brechas, incluso las que no se notifican a la autoridad. La notificación tardía o la omisión son infracciones autónomas sancionables con multas de hasta 10 millones de euros o el 2% de la facturación global, independientemente del daño causado por la brecha original.

Brecha de datos: el reloj de 72 horas empieza desde el conocimiento del incidente

El reloj de las 72 horas para notificar a la AEPD empieza a correr desde el momento en que existe conocimiento razonable del incidente. En la práctica, las empresas pierden horas críticas intentando entender que ha ocurrido, a quien deben notificar y como redactar la comunicación. Un error en la notificación —contenido incompleto, evaluación de riesgo incorrecta, plazo superado— convierte un incidente gestionable en una infracción grave sancionable de forma independiente al propio incidente y que puede agravarse hasta 20 millones de euros o el 4% de la facturación global. Hemos gestionado más de 60 brechas con notificación a la AEPD y ninguna ha resultado en sanción.

Protocolo de notificación AEPD y coordinación con ciber-seguro

Nuestro equipo activa el protocolo de respuesta desde el primer momento: coordinación con el equipo técnico para la contencion y preservacion de evidencias, y análisis jurídico paralelo de las obligaciones de notificación. No esperamos a tener toda la información para iniciar la notificación a la AEPD: el RGPD permite notificaciones por fases cuando la información completa no está disponible inicialmente. Esta flexibilidad es clave para cumplir el plazo de 72 horas sin sacrificar la calidad.

La coordinación con el DPO externalizado es un elemento central de nuestra capacidad de respuesta: el DPO tiene conocimiento previo del sistema de tratamiento de datos de la empresa, lo que permite acelerar significativamente el análisis de impacto. Cuando la brecha activa también las obligaciones de notificación NIS2 en 24 horas, nuestro equipo de respuesta a incidentes de ciberseguridad coordina ambas notificaciones en paralelo. La fase post-brecha incluye siempre una auditoría de privacidad para convertir el incidente en una oportunidad de mejora real del sistema de protección de datos.

Contexto regulatorio en España

El RGPD regula la gestión de brechas en los artículos 33 y 34. El artículo 33 obliga a notificar a la AEPD en 72 horas cuando la brecha supone riesgo para los derechos de las personas físicas. El artículo 33.5 obliga a registrar todas las brechas, incluso las que no se notifican a la autoridad. El artículo 34 obliga a comunicar a los afectados cuando el riesgo es alto, sin plazo fijo pero sin dilacion indebida. La LOPDGDD desarrolla las obligaciones del responsable y del encargado del tratamiento en el contexto español. La AEPD pública guías específicas sobre la evaluación de riesgo de brechas y el contenido de las notificaciones.

Resultados que puedes esperar

• Protocolo de respuesta activable en menos de una hora desde la detección del incidente
• Notificación a la AEPD redactada y presentada dentro del plazo de 72 horas con el contenido del artículo 33.3 RGPD
• Evaluación de riesgo documentada para determinar la obligación de comunicar a los afectados
• Registro de brechas actualizado conforme al artículo 33.5 RGPD, con toda la documentación del incidente
• Medidas correctoras técnicas y organizativas implementadas para evitar recurrencias
• Informe post-incidente para el órgano de gobierno con lecciones aprendidas y mejoras del plan de respuesta

La diferencia entre una brecha bien gestionada y una que deriva en sanción grave no está en el incidente en si mismo: está en la calidad del protocolo de respuesta.

El RGPD impone una distincion crítica que muchas empresas no comprenden bien: la obligación de notificar a la AEPD (artículo 33) y la obligación de comunicar a los afectados (artículo 34) tienen umbrales diferentes. La notificación a la autoridad se activa cuando existe “riesgo para los derechos y libertades” de las personas, un umbral deliberadamente bajo que incluye la gran mayoría de brechas reales. La comunicación a los afectados solo es obligatoria cuando el riesgo es “alto”, lo que requiere una evaluación de impacto específica para cada brecha.

Nuestro protocolo de respuesta está diseñado para funcionar bajo presion. Desde el momento de la detección, coordinamos en paralelo la contencion técnica del incidente y el análisis jurídico de las obligaciones de notificación. No esperamos a tener toda la información para iniciar la notificación: el RGPD permite notificaciones por fases cuando la información completa no está disponible en el momento inicial, y está flexibilidad es clave para cumplir el plazo de 72 horas sin sacrificar la calidad de la comunicación.

La fase post-brecha es tan importante como la respuesta inmediata. Una brecha de datos revela sistemáticamente vulnerabilidades en el sistema de privacidad que van más allá del incidente técnico: encargados del tratamiento sin obligación contractual de notificación, períodos de conservacion excesivos que amplian el alcance de la brecha, o ausencia de cifrado en datos que podrían haberlo estado. La auditoría de privacidad que realizamos después de cada incidente convierte la brecha en una oportunidad de mejora real del sistema de cumplimiento.

La coordinación con el DPO externalizado es un elemento central de nuestra capacidad de respuesta: el DPO tiene conocimiento previo del sistema de tratamiento de datos de la empresa, lo que permite acelerar significativamente el análisis de impacto y la valoración de las obligaciones de notificación en las primeras horas críticas del incidente.