Plazo de 72 horas en brecha de datos: cuándo empieza

·

Cuando una organización detecta que ha sufrido una violación de la seguridad de los datos personales, lo primero que surge es la pregunta: ¿cuánto tiempo tenemos? La respuesta del Reglamento (UE) 2016/679 (RGPD) es precisa pero matizada: 72 horas desde que el responsable del tratamiento tiene constancia de la brecha, no desde el momento en que esta se produce. Esa distinción, contenida en el artículo 33.1 del RGPD, es el eje sobre el que gira todo el protocolo de notificación a la Agencia Española de Protección de Datos (AEPD) y, si se gestiona mal, puede convertir una respuesta técnicamente correcta en una infracción formal.

Este artículo se centra exclusivamente en el cómputo del plazo: cuándo arranca el reloj, qué significa jurídicamente «tener constancia» de una brecha, cómo afecta la fase de investigación interna al cómputo, cuándo opera la demora justificada del artículo 33.1 y cuándo y cómo usar la notificación por fases del artículo 33.4 RGPD. Para el contenido mínimo exigido por el artículo 33.3, las diferencias entre notificación a la AEPD y comunicación a los afectados, el registro interno obligatorio y el papel del encargado del tratamiento, consulta el artículo complementario: Cómo notificar una brecha de seguridad a la AEPD en 72 horas.

¿Cuándo empieza a contar el plazo de 72 horas?

El punto de partida del cómputo es el momento en que el responsable del tratamiento tiene constancia de la brecha. Esta formulación —deliberadamente distinta de «cuando se produce la brecha»— responde a la realidad de los incidentes de seguridad: muchos ataques permanecen latentes durante días o semanas antes de ser detectados, y exigir la notificación desde el momento del incidente habría hecho el plazo imposible de cumplir en la mayoría de los casos.

El Grupo de Trabajo del Artículo 29 (hoy Comité Europeo de Protección de Datos, CEPD) precisó en sus Directrices sobre notificación de brechas de seguridad (WP250rev.01, adoptadas en febrero de 2018) que el responsable «tiene constancia» cuando dispone de un grado razonable de certeza de que se ha producido un incidente de seguridad que ha afectado a datos personales. No es necesario tener toda la información sobre el alcance de la brecha; basta con saber que ha ocurrido algo que, con razonable probabilidad, constituye una violación en el sentido del artículo 4.12 RGPD.

En la práctica, el momento del conocimiento puede ser:

Desde ese momento, el reloj corre de forma continua, en horas naturales, sin que los fines de semana o festivos interrumpan el cómputo. Una brecha detectada el viernes a las 18:00 debe notificarse a más tardar el lunes a las 18:00. La sede electrónica de la AEPD está disponible las 24 horas los 365 días del año.

La fase de investigación previa: ¿cuándo «se sabe» que hay brecha?

Aquí reside uno de los puntos más delicados. Cuando el equipo de seguridad detecta una anomalía, normalmente abre una investigación interna para confirmar si realmente existe una brecha y cuál es su alcance. ¿Empieza el plazo durante esa investigación o al final de ella?

El CEPD ha señalado que una investigación inicial razonable —que dure horas, no días— es compatible con el plazo de 72 horas. Sin embargo, prolongar esa investigación más allá de lo necesario para retrasar la notificación es incompatible con el principio de «sin dilación indebida». La AEPD y las demás autoridades europeas han sancionado casos en los que la organización tardó días o semanas en notificar argumentando que aún estaba investigando.

La regla práctica: si tras 24-48 horas de investigación hay indicios suficientes de que ha habido una violación con riesgo para los interesados, debe iniciarse el proceso de notificación aunque la investigación no haya concluido. Para eso existe precisamente la notificación por fases.

Si tu organización necesita apoyo para estructurar un protocolo de respuesta que diferencie la fase de análisis de la fase de notificación, en Summum Consultoría acompañamos en la gestión de brechas de seguridad desde la detección hasta el cierre del incidente.

La demora justificada del artículo 33.1 RGPD

El artículo 33.1 del RGPD reconoce que, en determinadas circunstancias, no es posible notificar dentro de las 72 horas. Cuando la notificación se realiza pasado ese plazo, el responsable debe acompañarla de una justificación motivada de la demora. La norma no fija un tope máximo explícito para este margen adicional, pero la práctica inspectora de la AEPD y del CEPD evidencia que las demoras superiores a 7-10 días resultan difíciles de justificar salvo en incidentes de extraordinaria complejidad técnica.

La demora justificada no es un recurso para esperar a disponer de todos los datos antes de notificar: para eso existe la notificación por fases. La justificación admisible es la que acredita que la propia detección de la brecha requirió un tiempo razonable y que la organización actuó con diligencia desde el primer momento en que tuvo indicios del incidente.

La notificación por fases: cuándo y cómo utilizarla

El artículo 33.4 del RGPD reconoce expresamente la posibilidad de que la información requerida se facilite de manera gradual sin más dilación indebida cuando no sea posible facilitarla toda al mismo tiempo. Esto da lugar a la denominada notificación por fases o notificación escalonada.

El esquema habitual es el siguiente:

  1. Notificación inicial (dentro de las 72 horas): se comunica a la AEPD que se ha producido una brecha, con la información disponible en ese momento: naturaleza aproximada del incidente, categorías de datos probablemente afectadas, número estimado de interesados, punto de contacto interno, y medidas de contención adoptadas hasta ese momento. Se indica expresamente que la notificación es provisional y se complementará.
  2. Notificación complementaria (en los días siguientes): una vez completada la investigación, se remite la información que faltaba: número exacto de afectados, registros concretos comprometidos, análisis del impacto, medidas correctivas definitivas y plan de mejora.

La AEPD acepta este mecanismo, pero exige que las ampliaciones se envíen sin demora injustificada. No es válido presentar la notificación inicial para «parar el reloj» y luego dejar la complementaria indefinidamente pendiente.

El encargado del tratamiento y el inicio del cómputo

Cuando la brecha la detecta un encargado del tratamiento (proveedor de software, empresa de hosting, gestor documental en la nube), el artículo 33.2 del RGPD le obliga a informar al responsable sin dilación indebida. Es esa comunicación interna la que, en la práctica, marca el arranque del plazo de 72 horas para el responsable. Por eso los contratos de encargo del tratamiento deben fijar un plazo máximo explícito —habitualmente 24 horas desde la detección por el encargado— en que este comunicará la brecha, para que el responsable pueda notificar a la AEPD dentro del plazo legal. Las demás implicaciones del rol del encargado, el contenido mínimo de la notificación y el registro interno se desarrollan en el artículo complementario sobre cómo notificar una brecha a la AEPD.

Régimen sancionador: qué dice el RGPD

El incumplimiento de la obligación de notificación de brechas se encuadra en el artículo 83.4 del RGPD, que prevé sanciones de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial del ejercicio financiero anterior, aplicándose el importe que sea mayor. La AEPD tiene en cuenta, al graduar la sanción, factores como la negligencia frente al dolo, la cooperación con la autoridad, el daño causado a los interesados y las medidas adoptadas para mitigar los efectos. Una notificación tardía pero voluntaria y acompañada de justificación razonada tiene un tratamiento muy diferente al de una omisión deliberada.

Preguntas frecuentes

¿El plazo de 72 horas se computa en horas naturales o hábiles?

En horas naturales, sin interrupciones por fines de semana ni festivos. El artículo 33.1 del RGPD no prevé suspensión del cómputo. Si el responsable detecta la brecha un sábado a las 10:00, tiene hasta el martes a las 10:00 para notificar a la AEPD. Por eso es fundamental contar con protocolos de respuesta que puedan activarse fuera del horario habitual de oficina.

¿Qué sucede si cuando termina la investigación interna ya han pasado las 72 horas?

El artículo 33.1 del RGPD permite notificar pasado el plazo cuando existen motivos justificados para la demora, que deben explicarse en la propia notificación. Sin embargo, este margen no es ilimitado: la AEPD distingue entre una investigación razonable que se prolonga unas horas o un día más y una demora que evidencia falta de diligencia. La recomendación es notificar con la información disponible dentro de las 72 horas y completar la notificación mediante fases (art. 33.4 RGPD), en lugar de esperar a tener todos los datos.

¿Tiene que notificar la empresa si la brecha la ha sufrido un proveedor externo?

Sí, si ese proveedor actúa como encargado del tratamiento de datos personales cuya responsabilidad corresponde a la empresa. El encargado debe informar al responsable sin dilación (art. 33.2 RGPD), y el responsable es quien notifica a la AEPD. El momento en que el responsable recibe esa comunicación del encargado es, normalmente, el punto de partida del cómputo de las 72 horas. Por eso los contratos de encargo del tratamiento deben regular expresamente el plazo en que el proveedor comunicará la brecha, normalmente no superior a 24 horas desde que la detecta.