El teléfono de la responsable de administración suena a las ocho de la mañana. El proveedor de correo avisa de que han detectado accesos no autorizados a la cuenta de la empresa durante la noche. En ese momento, y aunque nadie en la organización haya tomado todavía ninguna decisión, el reloj del artículo 33 del Reglamento (UE) 2016/679 (RGPD) ya ha empezado a contar. Disponen de 72 horas para notificarlo a la Agencia Española de Protección de Datos (AEPD) si el incidente supone un riesgo para los derechos y libertades de las personas afectadas.
Este artículo explica qué es exactamente una brecha de seguridad de datos, cómo clasificar su gravedad, qué obligaciones concretas impone el RGPD —y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)— y qué debe hacer una pyme en las primeras horas para no agravar su exposición jurídica.
¿Qué es una brecha de seguridad de datos personales?
El artículo 4.12 del RGPD la define como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
La definición es deliberadamente amplia. No exige que haya habido un ataque externo ni que los datos hayan sido publicados. Tres situaciones son igualmente brechas:
- Confidencialidad: acceso o divulgación no autorizada de datos (un ciberataque que extrae una base de datos de clientes, un correo enviado a la dirección equivocada con datos personales adjuntos).
- Integridad: alteración no autorizada o accidental de los datos (modificación malintencionada de registros, corrupción de un fichero por malware).
- Disponibilidad: destrucción o pérdida de acceso a los datos (ransomware que cifra los servidores, borrado accidental de una base de datos sin copia de seguridad).
Lo que une las tres categorías es que afectan a datos personales: cualquier información que permita identificar a una persona física. Expedientes de empleados, listados de clientes, historiales médicos, direcciones de correo electrónico o números de teléfono son datos personales. Un fichero de configuración de servidores sin nombres ni identificadores no lo es.
Tipos de brechas de seguridad: ejemplos reales en pymes
Las brechas no son solo un problema de grandes corporaciones. La AEPD publica estadísticas anuales que muestran que más de la mitad de las notificaciones recibidas proceden de pequeñas y medianas empresas. Estos son los tipos más frecuentes en el tejido empresarial español:
| Tipo de incidente | Ejemplo concreto | Categoría de brecha | Riesgo habitual |
|---|---|---|---|
| Ransomware / cifrado malicioso | Un empleado abre un adjunto fraudulento; el malware cifra todos los ficheros del servidor compartido, incluida la base de datos de clientes | Disponibilidad (+ confidencialidad si hay exfiltración) | Alto o muy alto |
| Robo o pérdida de dispositivo | Un comercial pierde un portátil con contratos en PDF y la agenda de contactos sin cifrar | Confidencialidad | Medio-alto (depende del cifrado del disco) |
| Envío de correo erróneo | Una gestoría envía la nómina de un empleado a otro por confusión en la dirección | Confidencialidad | Bajo (si el receptor la destruye) o medio |
| Acceso no autorizado por exempleado | Un trabajador que causó baja conserva credenciales activas y descarga el CRM antes de marcharse | Confidencialidad | Alto |
| Vulnerabilidad en web o ecommerce | Un plugin desactualizado de WordPress permite inyección SQL; se exponen datos de pedidos con nombre, dirección y teléfono | Confidencialidad | Alto |
| Borrado accidental de datos | Una clínica borra sin querer la base de datos de citas del último año sin copia de seguridad reciente | Disponibilidad | Medio (si no hay afectados identificables con perjuicio) |
¿Cuándo hay obligación de notificar a la AEPD?
No toda brecha exige notificación. El artículo 33 del RGPD establece la obligación cuando la brecha «suponga un riesgo para los derechos y libertades de las personas físicas». La norma también prevé una excepción: si «sea improbable que dicha violación suponga un riesgo para los derechos y libertades de las personas físicas», no hay obligación de notificar, aunque sí hay obligación de documentarla internamente en el Registro de Brechas de Seguridad que debe llevar todo responsable del tratamiento.
En la práctica, la AEPD y el Comité Europeo de Protección de Datos (CEPD) han publicado directrices que permiten evaluar el riesgo considerando factores como:
- El tipo y volumen de datos afectados (son más graves los datos especialmente protegidos: salud, creencias, origen racial, orientación sexual).
- El número de personas afectadas.
- La facilidad para identificar a los afectados a partir de los datos expuestos.
- La capacidad del responsable para haber evitado el incidente (negligencia).
- La reversibilidad del daño potencial.
El plazo de 72 horas desde que el responsable tiene conocimiento del incidente es perentorio. Si en ese momento la investigación no está concluida, el RGPD permite hacer una notificación por fases: una comunicación inicial con los datos disponibles y una ampliación posterior cuando se tenga información completa. Lo que no admite el reglamento es esperar a tenerlo todo claro para notificar.
¿Cuándo hay que comunicar la brecha a los afectados?
El artículo 34 del RGPD añade una segunda obligación cuando la brecha «entrañe un alto riesgo para los derechos y libertades de las personas físicas»: comunicarla directamente a cada persona afectada «sin dilación indebida». Esta comunicación debe hacerse en un lenguaje claro y accesible, e incluir al menos:
- La naturaleza de la violación.
- El nombre y datos de contacto del delegado de protección de datos (DPO) o del punto de contacto de la empresa.
- Las posibles consecuencias de la brecha.
- Las medidas adoptadas o propuestas para remediarla y, en su caso, para mitigar sus efectos adversos.
El responsable puede eludir esta comunicación a los afectados solo si ha adoptado medidas técnicas previas que hagan ininteligibles los datos (por ejemplo, cifrado robusto con clave no comprometida), si ha tomado medidas posteriores suficientes para neutralizar el riesgo, o si la comunicación individual supusiera un esfuerzo desproporcionado —en cuyo caso debe hacerse mediante comunicación pública.
Protocolo de actuación en las primeras 72 horas
La diferencia entre una pyme que gestiona bien una brecha y una que agrava su exposición jurídica se decide casi siempre en las primeras horas. El siguiente esquema refleja las acciones prioritarias:
- Contención inmediata: aislar los sistemas afectados, revocar credenciales comprometidas, bloquear vectores de acceso identificados. No apagar servidores indiscriminadamente si ello puede destruir evidencia forense.
- Evaluación preliminar del alcance: determinar qué datos se han visto afectados, cuántas personas y desde cuándo. Esta evaluación no tiene que ser definitiva, pero debe ser suficiente para tomar la decisión de notificar.
- Activar el protocolo interno de brechas: si la empresa tiene DPO o delegado de protección de datos, es el momento de involucrarlo. Si no lo tiene, el responsable del tratamiento asume la coordinación.
- Documentar todo desde el minuto uno: hora de detección, quién detectó el incidente, medidas adoptadas, conversaciones con el proveedor técnico. Esta documentación es la prueba de diligencia ante la AEPD.
- Decidir si se notifica a la AEPD: si hay riesgo para los afectados —lo que ocurre en la mayoría de los casos salvo que los datos estén cifrados o el incidente sea trivial—, notificar a través de la sede electrónica de la AEPD antes de que transcurran 72 horas desde el conocimiento del incidente.
- Evaluar si es necesaria la comunicación a los afectados y, si lo es, redactar y enviar el mensaje con la información exigida por el artículo 34 RGPD.
Qué información debe contener la notificación a la AEPD
El artículo 33.3 del RGPD detalla el contenido mínimo de la notificación. La AEPD dispone de un formulario electrónico en su sede que estructura estos campos:
- Descripción de la naturaleza de la violación (tipo de brecha, categorías y número aproximado de personas afectadas, categorías y número aproximado de registros afectados).
- Nombre y datos de contacto del DPO o punto de contacto.
- Descripción de las posibles consecuencias de la brecha.
- Descripción de las medidas adoptadas o propuestas para remediar la violación, incluidas, en su caso, las medidas para mitigar los posibles efectos negativos.
Si no se dispone de toda la información en el momento de la notificación inicial, se puede presentar una notificación parcial indicando expresamente que se completará en cuanto se disponga de más datos. La AEPD valora este comportamiento proactivo frente a la ocultación o la demora injustificada.
Régimen sancionador: qué puede imponer la AEPD
El artículo 83 del RGPD establece el marco sancionador sin fijar importes obligatorios: la autoridad de control dispone de discrecionalidad para graduar la sanción atendiendo a la gravedad, intencionalidad, número de afectados, categorías de datos implicados y medidas adoptadas para remediar el daño. El techo máximo es 20 millones de euros o el 4 % del volumen de negocio anual global del ejercicio anterior (el mayor de los dos). No es procedente citar aquí importes de sanciones concretas en sectores específicos, pero sí conviene saber que la AEPD ha impuesto sanciones relevantes tanto a grandes empresas como a pymes por gestión deficiente de brechas —incluyendo casos de notificación tardía o ausencia de notificación cuando era obligatoria.
La LOPDGDD (LO 3/2018) complementa el RGPD en el ámbito nacional, y su artículo 73 tipifica como infracción grave la falta de notificación de brechas de seguridad cuando resulte exigible.
Cómo prevenir brechas de seguridad: medidas técnicas y organizativas
El RGPD impone en su artículo 32 la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. No existe un catálogo cerrado: la adecuación depende del estado de la técnica, los costes de implementación y la naturaleza de los datos tratados. En términos prácticos, para una pyme española las medidas mínimas razonables incluyen:
- Cifrado de dispositivos móviles y portátiles que contengan datos personales (neutraliza las brechas por pérdida o robo).
- Política de contraseñas robustas y autenticación en dos pasos para acceder a sistemas con datos personales.
- Copias de seguridad periódicas y verificadas, con al menos una copia fuera del servidor principal (reduce el impacto de ransomware y borrados accidentales).
- Gestión del ciclo de vida de las credenciales: baja inmediata de accesos al finalizar una relación laboral o contractual.
- Actualizaciones de seguridad aplicadas con rapidez en todos los sistemas, especialmente en CMS, plugins y aplicaciones web.
- Protocolo escrito de gestión de brechas que defina quién recibe la alerta, quién decide notificar y quién redacta la comunicación a la AEPD.
El papel del DPO en la gestión de brechas
Los artículos 37 a 39 del RGPD regulan la figura del Delegado de Protección de Datos (DPO): su designación es obligatoria para determinadas organizaciones (autoridades públicas, entidades que realizan tratamientos a gran escala de categorías especiales de datos o seguimiento sistemático a gran escala). Cuando existe un DPO, es el interlocutor natural con la AEPD en caso de brecha y el responsable de coordinar el protocolo interno.
Para las pymes que no tienen la obligación legal de designar un DPO pero que tratan datos de cierta sensibilidad —clínicas, centros educativos, despachos profesionales, empresas con CRM extenso—, contar con un DPO externo proporciona la misma cobertura a un coste asequible, con la ventaja de que el servicio incluye habitualmente la gestión de brechas como parte del contrato.
Si tu empresa no tiene todavía un protocolo de gestión de brechas ni un responsable de protección de datos claramente designado, es el momento de abordar la adecuación al RGPD en materia de brechas de seguridad. En Summum Consultora acompañamos a pymes de Castilla y León y Canarias en la implantación de protocolos, la redacción del Registro de Brechas y la actuación en caso de incidente real.
Preguntas frecuentes
¿Qué ocurre si detecto una brecha pasados varios días del incidente?
El plazo de 72 horas empieza a contar desde el momento en que el responsable del tratamiento tiene conocimiento del incidente, no desde que ocurrió. Si la brecha se detecta de forma tardía, el reloj arranca en el momento de la detección. Eso sí, en la notificación a la AEPD deberás indicar tanto la fecha probable del incidente como la fecha en que lo detectaste, y la diferencia puede ser objeto de escrutinio si resulta desproporcionada.
¿Una brecha interna —sin acceso externo— hay que notificarla también?
Sí. Si un empleado accede sin autorización a datos de otros empleados o de clientes, eso es una brecha de confidencialidad sujeta a las mismas obligaciones que una intrusión externa. La naturaleza interna o externa del acceso no determina la obligación; lo determina el riesgo para los afectados.
¿Qué pasa si la brecha afecta a datos de empleados y no de clientes?
Los datos de empleados son igualmente datos personales bajo el RGPD. Una brecha que expone nóminas, datos bancarios, expedientes disciplinarios o información de salud de trabajadores puede ser tan grave —o más— que una que afecta a datos de clientes. Las obligaciones de notificación son idénticas.
¿Existe algún registro donde deba quedar constancia de todas las brechas, incluso las no notificadas?
Sí. El artículo 33.5 del RGPD exige que el responsable del tratamiento documente todas las violaciones de seguridad, incluidas las que no superan el umbral de riesgo que obliga a notificar a la autoridad de control. Este Registro de Brechas debe estar a disposición de la AEPD si lo requiere.