Cómo notificar una brecha de seguridad a la AEPD en 72 horas

·

Cuando se produce una brecha de seguridad en tu empresa, el reloj empieza a contar desde el momento en que tienes conocimiento del incidente. El Reglamento (UE) 2016/679 (RGPD) impone un plazo de 72 horas para notificar a la Agencia Española de Protección de Datos (AEPD), y no todas las organizaciones saben qué pasos dar ni en qué orden. Este artículo responde a las preguntas más habituales con rigor normativo, sin adornos.

¿Qué es una brecha de seguridad a efectos del RGPD?

El artículo 4.12 del RGPD define la brecha de seguridad como «toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, pérdida o alteración accidental o no autorizada de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Esto cubre tres tipos de incidentes:

Un incidente de seguridad que no afecta a datos personales —por ejemplo, la caída de un servidor de producción que no almacena datos de personas— no es una brecha en sentido RGPD. Pero si el servidor aloja un CRM con datos de clientes, sí lo es si hay pérdida de disponibilidad.

¿Toda brecha debe notificarse a la AEPD?

No. El artículo 33.1 del RGPD establece que la notificación a la autoridad de control es obligatoria salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas. La regla práctica: si hay dudas razonables sobre el riesgo, se notifica. La omisión indebida de notificación es una infracción que puede quedar dentro del marco sancionador del artículo 83 del RGPD (hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial, según el tipo de infracción).

La AEPD dispone de una herramienta orientativa de valoración de riesgo que ayuda a determinar si el incidente requiere notificación. No es vinculante, pero documenta el razonamiento y reduce la exposición de la organización si se acredita que la decisión de no notificar fue razonada y documentada.

¿Qué dice el artículo 33 del RGPD exactamente?

El artículo 33 del Reglamento (UE) 2016/679 obliga al responsable del tratamiento a:

  1. Notificar la brecha a la autoridad de control competente (en España, la AEPD) sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.
  2. Si la notificación no puede realizarse en 72 horas, acompañarla de una indicación de los motivos de la demora.
  3. Documentar cualquier violación de seguridad, independientemente de si se notifica o no, incluyendo los hechos, los efectos y las medidas correctivas adoptadas.

El encargado del tratamiento (el proveedor que trata datos por cuenta del responsable) tiene la obligación de informar al responsable sin dilación indebida tras tener constancia de la brecha (art. 33.2 RGPD), pero no está obligado a notificar directamente a la AEPD: esa carga recae sobre el responsable.

¿Qué información debe incluir la notificación a la AEPD?

El artículo 33.3 del RGPD enumera el contenido mínimo de la notificación:

El artículo 33.4 permite que, cuando no sea posible facilitar toda la información simultáneamente, se suministre de manera gradual y sin más dilación indebida. En la práctica, esto significa que es mejor notificar en plazo con información parcial —y completarla después— que esperar a tener todos los datos y pasarse del plazo de 72 horas.

¿Cómo se notifica a la AEPD?

La AEPD ha habilitado un canal específico a través de su sede electrónica. El trámite se denomina «Notificación de brechas de seguridad» y está disponible en la sede electrónica de la AEPD. La organización debe identificarse mediante certificado digital o Cl@ve y cumplimentar el formulario, que sigue la estructura del artículo 33.3 RGPD.

No existe actualmente un modelo normalizado de obligado cumplimiento más allá del formulario online de la AEPD, pero en la práctica se recomienda tener preparada internamente una ficha de incidente que contenga: fecha y hora de detección, descripción del incidente, datos afectados, sistemas implicados, medidas inmediatas adoptadas y persona responsable de la gestión.

¿Cuándo hay que comunicar la brecha a los propios afectados?

La comunicación a los interesados es una obligación distinta y adicional a la notificación a la AEPD, regulada por el artículo 34 del RGPD. Esta comunicación es obligatoria cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas físicas. El umbral es más exigente que el de notificación a la autoridad: no basta con que haya riesgo; el riesgo debe ser alto.

Algunos criterios que elevan la valoración de riesgo a «alto»: afectación de categorías especiales de datos (salud, ideología, origen racial, datos relativos a infracciones penales), número elevado de afectados, posibilidad de daño económico o social directo (robo de identidad, fraude financiero), o combinación de datos que permita perfilar a las personas.

La comunicación a los afectados debe realizarse sin dilación indebida (el RGPD no fija aquí un plazo de horas concreto, pero la AEPD recomienda hacerlo cuanto antes, una vez confirmada la naturaleza y el alcance de la brecha). Debe describir, en lenguaje claro y sencillo, la naturaleza de la violación, los posibles efectos y las medidas adoptadas o recomendadas.

No es necesario comunicar a los afectados si concurre alguna de las excepciones del artículo 34.3 RGPD: los datos estaban cifrados con clave robusta y no accesible, se han adoptado medidas técnicas que eliminan el riesgo, o la comunicación exigiría un esfuerzo desproporcionado y se realiza en su lugar una comunicación pública.

¿Qué papel tiene el DPO en la gestión de una brecha?

El delegado de protección de datos (DPO), cuya figura está regulada en los artículos 37 a 39 del RGPD, debe ser informado de inmediato cuando se detecta una posible brecha. Sus funciones en este contexto son:

El DPO es obligatorio en los supuestos del artículo 37 del RGPD: autoridades y organismos públicos, entidades que realizan tratamientos a gran escala de categorías especiales de datos, y entidades cuya actividad principal requiere observación sistemática a gran escala de interesados. Sin embargo, en organizaciones que no tienen DPO obligatorio, la AEPD recomienda igualmente designar un punto de contacto interno para la gestión de incidentes.

Desde Summum Consultoría acompañamos a las organizaciones en la gestión y notificación de brechas de seguridad, desde la detección hasta el cierre del incidente, con protocolos adaptados al tamaño y sector de cada empresa.

¿Qué debe constar en el registro interno de brechas?

Con independencia de si la brecha se notifica o no a la AEPD, el artículo 33.5 del RGPD obliga al responsable a documentar todas las violaciones de seguridad. El registro debe incluir, como mínimo:

Este registro no tiene un formato preestablecido, pero debe ser suficientemente detallado para acreditar ante la AEPD —en caso de investigación posterior— que la organización actuó con diligencia. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) complementa el RGPD en el ordenamiento español sin modificar este régimen de notificación.

Preguntas frecuentes

¿Empiezan a correr las 72 horas desde que se produce la brecha o desde que se detecta?

El plazo de 72 horas comienza desde el momento en que el responsable del tratamiento tiene constancia de la brecha, no desde que se produce. Esto es relevante en ataques que pueden haber comenzado días antes de ser detectados: el plazo arranca con la detección. No obstante, las organizaciones deben tener sistemas de detección razonables; alegar desconocimiento cuando había señales obvias no exonera.

Si la brecha ocurre un viernes por la tarde, ¿el plazo se suspende el fin de semana?

No. El plazo de 72 horas del artículo 33.1 del RGPD es un plazo de horas naturales, no hábiles. Una brecha detectada el viernes a las 20:00 debe notificarse a más tardar el lunes a las 20:00. La AEPD dispone de su sede electrónica las 24 horas. Esto refuerza la necesidad de tener protocolos internos que puedan activarse fuera del horario de oficina.

¿Qué ocurre si se notifica con retraso?

La notificación tardía no impide presentarla; debe acompañarse de una explicación de los motivos de la demora (art. 33.1 RGPD, inciso final). La AEPD valora positivamente la transparencia y la colaboración. En cambio, la omisión total de notificación cuando era obligatoria puede ser sancionada en el marco del artículo 83 del RGPD, con sanciones de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial, el importe que sea mayor.

¿Puede la AEPD iniciar una investigación aunque la empresa haya notificado correctamente?

Sí. La notificación no blinda a la organización frente a una investigación. La AEPD puede iniciar actuaciones de oficio para verificar si se adoptaron las medidas técnicas y organizativas adecuadas antes y después de la brecha. Sin embargo, haber notificado en plazo y de forma completa, y haber documentado el incidente correctamente, son factores que la AEPD tiene en cuenta al valorar la diligencia de la organización.

¿Un proveedor cloud que sufre una brecha tiene que notificar a la AEPD?

Si ese proveedor actúa como encargado del tratamiento (trata datos por cuenta del responsable), su obligación es notificar al responsable sin dilación indebida, pero no directamente a la AEPD. La notificación a la AEPD corresponde al responsable. Por eso es fundamental que los contratos con proveedores cloud incluyan cláusulas de encargo del tratamiento que regulen expresamente el procedimiento de notificación interna de incidentes y los plazos máximos.

Si quieres revisar tus protocolos de respuesta ante brechas o necesitas acompañamiento en la gestión de un incidente activo, el equipo de protección de datos de Summum Consultoría está disponible para organizaciones en Castilla y León y Canarias.