Cuándo hay que comunicar una brecha al afectado (art. 34 RGPD)

·

Cuando se produce una violación de la seguridad de datos personales, muchas organizaciones centran todos sus esfuerzos en la notificación a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas que impone el artículo 33 del Reglamento (UE) 2016/679 (RGPD). Sin embargo, existe una segunda obligación que a menudo se pasa por alto o se gestiona de forma tardía: la comunicación directa a las personas cuyos datos se han visto comprometidos, regulada en el artículo 34 del RGPD. Esta obligación tiene su propio umbral de activación, su propio contenido mínimo y sus propias excepciones, y su incumplimiento puede ser sancionado en el marco del artículo 83 del RGPD.

Este artículo analiza con rigor normativo el régimen del artículo 34 del RGPD: cuándo nace la obligación de comunicar la brecha al afectado, qué debe decir esa comunicación, en qué casos puede omitirse legítimamente y cuál es el papel del delegado de protección de datos (DPO) en todo el proceso. Si quieres revisar primero la notificación a la AEPD, puedes leer nuestro artículo sobre cómo notificar una brecha de seguridad a la AEPD en 72 horas.

Artículo 33 frente a artículo 34 del RGPD: dos obligaciones distintas

Antes de entrar en el fondo del artículo 34, conviene tener clara la diferencia estructural entre las dos obligaciones de comunicación que establece el RGPD ante una brecha de seguridad:

Comparativa: art. 33 RGPD vs art. 34 RGPD
Aspecto Art. 33 RGPD — Notificación a la AEPD Art. 34 RGPD — Comunicación a los afectados
Destinatario Autoridad de control (AEPD en España) Interesados / personas físicas afectadas
Umbral de activación Riesgo probable para derechos y libertades Riesgo alto probable para derechos y libertades
Plazo Sin dilación indebida; máximo 72 horas desde que se tiene constancia Sin dilación indebida (sin plazo de horas concreto)
Obligado Responsable del tratamiento Responsable del tratamiento
Excepciones Riesgo improbable (art. 33.1) Cifrado robusto, medidas correctivas, esfuerzo desproporcionado (art. 34.3)
Canal Sede electrónica de la AEPD Comunicación directa al interesado (o comunicación pública si aplica la excepción)

En síntesis: el artículo 34 del RGPD se activa cuando el nivel de riesgo para las personas es más grave que el umbral ordinario del artículo 33. Puede darse el caso de que una organización deba notificar a la AEPD (art. 33) pero no esté obligada a comunicar a los afectados (art. 34) porque el riesgo, aun existiendo, no alcanza el nivel alto. Lo contrario —comunicar a afectados sin haber notificado a la AEPD— sería en la práctica incoherente y difícilmente justificable.

El umbral de «alto riesgo» para los derechos y libertades del afectado

El artículo 34.1 del RGPD establece que el responsable del tratamiento «comunicará sin dilación indebida al interesado la violación de la seguridad de los datos personales, cuando sea probable que la violación entrañe un alto riesgo para los derechos y libertades de las personas físicas». La determinación de ese riesgo alto no es automática: requiere una evaluación concreta que valore la probabilidad de que la brecha cause un daño real y significativo a las personas cuyos datos se han comprometido.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD, así como las directrices del Comité Europeo de Protección de Datos (CEPD), identifican los factores que elevan la valoración de riesgo a la categoría de alto:

La evaluación de riesgo debe documentarse con independencia del resultado: si se concluye que no hay alto riesgo y, por tanto, no se comunica a los afectados, esa decisión debe quedar justificada en el registro interno de violaciones de seguridad que exige el artículo 33.5 del RGPD.

Contenido mínimo de la comunicación al afectado

El artículo 34.2 del RGPD establece que la comunicación a los interesados debe describir, «en lenguaje claro y sencillo», los siguientes elementos:

  1. Naturaleza de la violación: qué tipo de incidente se ha producido (acceso no autorizado, robo de dispositivo, publicación accidental, ransomware, etc.) y qué datos personales se han visto afectados.
  2. Datos de contacto del DPO o punto de contacto: nombre y datos de una persona o equipo al que el afectado pueda dirigirse para obtener más información o ejercer sus derechos.
  3. Consecuencias probables de la violación: qué puede ocurrirle al afectado como resultado de la brecha (robo de identidad, acceso no autorizado a sus cuentas, daño reputacional, etc.).
  4. Medidas adoptadas o propuestas por el responsable: qué está haciendo la organización para remediar la brecha y para reducir o eliminar sus efectos negativos sobre los afectados. Esto puede incluir recomendaciones concretas para que el afectado se proteja (cambio de contraseña, cancelación de tarjeta, alerta de fraude bancario).

La comunicación debe redactarse en un lenguaje que el afectado pueda entender, sin tecnicismos jurídicos o informáticos que dificulten la comprensión del riesgo real al que se enfrenta. No es suficiente con enviar una copia del informe técnico del incidente; el responsable debe elaborar un texto específico para las personas afectadas, con instrucciones claras y un canal de contacto accesible.

En cuanto al canal, el RGPD no impone un medio concreto, pero la práctica habitual y las recomendaciones de la AEPD apuntan al canal de comunicación habitual con el interesado (correo electrónico si existe, carta postal si no hay dirección electrónica, o incluso llamada telefónica en casos de alto impacto). En situaciones en que el número de afectados es muy elevado y la comunicación individual resulta desproporcionada, puede recurrirse a la excepción del esfuerzo desproporcionado (art. 34.3.c), que se analiza más adelante.

Si tu organización ha sufrido una brecha y necesitas orientación para redactar esta comunicación o evaluar el nivel de riesgo, en Summum Consultoría acompañamos a empresas en la gestión integral de brechas de seguridad, desde la detección hasta el cierre documental del incidente.

Excepciones: cuándo no es obligatorio comunicar al afectado

El artículo 34.3 del RGPD recoge tres excepciones que permiten al responsable no realizar la comunicación directa a los interesados, aunque el incidente haya superado el umbral de alto riesgo. Estas excepciones son de interpretación estricta y deben acreditarse documentalmente.

Primera excepción: datos cifrados con garantías técnicas adecuadas

No será necesario comunicar la brecha a los afectados si el responsable del tratamiento «ha aplicado medidas de protección técnicas y organizativas apropiadas a los datos personales afectados por la violación de la seguridad, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como sería el caso del cifrado» (art. 34.3.a RGPD).

Esta excepción aplica cuando:

La excepción no aplica si el atacante también obtuvo la clave de cifrado, si el cifrado empleado es débil o está obsoleto, o si los datos robados incluyen tanto los datos cifrados como los mecanismos de descifrado. En caso de duda, la postura más segura —y la que recomienda la AEPD— es comunicar igualmente a los afectados.

Segunda excepción: medidas correctivas que eliminan el alto riesgo

Si el responsable ha adoptado medidas técnicas u organizativas posteriores a la brecha que garantizan que el alto riesgo para los derechos y libertades de los interesados ya no es probable, la comunicación puede omitirse (art. 34.3.b RGPD). Un ejemplo sería el caso de una base de datos accedida de forma no autorizada cuyos datos han sido destruidos de forma verificable antes de ser utilizados, o una cuenta comprometida cuya contraseña ha sido restablecida y el acceso cancelado antes de que se produjeran acciones dañinas.

Esta excepción requiere evidencia objetiva de que el riesgo ha sido neutralizado, no una mera expectativa o presunción. La carga de acreditar que el riesgo ha desaparecido recae sobre el responsable.

Tercera excepción: esfuerzo desproporcionado y comunicación pública alternativa

Cuando la comunicación individual a cada interesado «supusiera un esfuerzo desproporcionado», el artículo 34.3.c del RGPD permite sustituirla por una comunicación pública u otra medida semejante por la que los interesados sean informados de manera igualmente efectiva. Esta excepción es la más delicada, ya que puede invocarse erróneamente como escudo para evitar la comunicación individual cuando simplemente resulta incómoda o costosa.

La AEPD entiende que el esfuerzo desproporcionado debe valorarse en términos objetivos: el número de afectados es muy alto, no existe una base de datos de contacto actualizada, o los costes de la comunicación individual serían extraordinariamente elevados en relación con el impacto real de la brecha. No basta con que sea molesto o costoso en términos ordinarios.

En el caso de optar por la comunicación pública, ésta debe ser efectivamente accesible para los afectados: publicar un aviso en una sección poco visible de la web corporativa o en el «aviso legal» no cumple el requisito. Deben valorarse medios como notas de prensa en medios de comunicación relevantes, comunicados en redes sociales con amplia difusión, o publicaciones en el Boletín Oficial correspondiente si el alcance de la brecha lo justifica.

¿Cuándo debe hacerse la comunicación? El concepto de «sin dilación indebida»

A diferencia del artículo 33 del RGPD, que fija un plazo máximo de 72 horas para la notificación a la AEPD, el artículo 34 no establece un número concreto de horas para la comunicación a los afectados. La expresión utilizada es «sin dilación indebida», lo que en la práctica significa tan pronto como sea razonablemente posible, una vez confirmada la naturaleza y el alcance de la brecha.

La AEPD recomienda que la comunicación a los afectados se realice, en la medida de lo posible, de forma contemporánea a la notificación a la propia Agencia o inmediatamente después. En cualquier caso, la demora solo se justifica si la comunicación precipitada —antes de conocer el alcance real del incidente— pudiera causar confusión o alarma injustificada. Ese plazo de espera para verificar los hechos debe ser el mínimo imprescindible y debe quedar documentado.

En incidentes de gran escala que afectan a miles o millones de personas —como los que se producen en plataformas digitales o en entidades financieras— la comunicación puede requerir un plan de comunicación escalonado, pero esto no exime de actuar con la mayor celeridad posible. La Guía para la gestión y notificación de brechas de seguridad de la AEPD proporciona orientación específica para estos escenarios.

El papel del DPO en la comunicación al afectado

El delegado de protección de datos (DPO), cuya designación es obligatoria en los supuestos del artículo 37 del RGPD y que en muchas organizaciones se cubre mediante la figura del DPO externo, tiene un papel central en la decisión de si procede la comunicación al afectado y en la supervisión de su contenido y canal.

Sus funciones específicas en relación con el artículo 34 del RGPD incluyen:

En organizaciones sin DPO designado, estas funciones deben recaer en la persona o equipo responsable de la protección de datos, con el soporte de un asesor externo especializado si la complejidad del incidente lo requiere. El equipo de Summum Consultoría presta servicio de acompañamiento en la gestión de brechas de seguridad para organizaciones en Castilla y León y Canarias, con presencia en Valladolid, Burgos, Palencia, Aranda de Duero y Las Palmas.

Régimen sancionador por incumplimiento del artículo 34 del RGPD

El incumplimiento de la obligación de comunicar la brecha a los afectados cuando era legalmente exigible se enmarca en el artículo 83.4 del RGPD, que establece sanciones de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial total del ejercicio financiero anterior, aplicándose el importe que sea mayor. No se trata de una infracción del nivel máximo del artículo 83.5 (que reserva las sanciones más elevadas para vulneraciones de principios fundamentales del tratamiento o de los derechos de los interesados), pero la cuantía potencial sigue siendo significativa para cualquier organización.

La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) complementa el RGPD en el ordenamiento español y atribuye a la AEPD las competencias sancionadoras correspondientes. Al valorar la gravedad de la infracción, la AEPD tiene en cuenta factores como la naturaleza, gravedad y duración de la infracción, el número de interesados afectados, el nivel de daño sufrido, si la infracción fue dolosa o negligente, y las medidas adoptadas para mitigar el daño.

Es importante subrayar que la AEPD no solo puede sancionar por no comunicar al afectado: también puede investigar si la comunicación se realizó fuera de plazo, si su contenido era incompleto o confuso, o si la excepción invocada (cifrado, esfuerzo desproporcionado) no estaba debidamente justificada.

Preguntas frecuentes

¿Hay que comunicar la brecha al afectado si ya se ha notificado a la AEPD?

Son obligaciones independientes. La notificación a la AEPD (art. 33 RGPD) se activa ante cualquier brecha con riesgo probable para los derechos y libertades de las personas. La comunicación al afectado (art. 34 RGPD) solo es obligatoria cuando ese riesgo es alto. Es perfectamente posible que una organización deba notificar a la AEPD pero no a los afectados si el nivel de riesgo, aun existiendo, no alcanza el umbral de «alto». Lo contrario —comunicar a afectados sin haber notificado a la AEPD, cuando la notificación era obligatoria— implicaría también haber incumplido el artículo 33.

¿Qué ocurre si los datos de contacto de los afectados están desactualizados o incompletos?

Si el responsable no dispone de datos de contacto actualizados para todos los afectados, debe intentar contactar por el canal disponible más efectivo y documentar el esfuerzo realizado. Si la situación afecta a un número significativo de personas y hace inviable la comunicación individual, puede aplicarse la excepción del esfuerzo desproporcionado del artículo 34.3.c del RGPD, sustituyendo la comunicación directa por una comunicación pública igualmente efectiva. En cualquier caso, la AEPD espera que el responsable demuestre que agotó las vías razonables antes de recurrir a esta excepción.

¿Puede la AEPD obligar al responsable a comunicar la brecha a los afectados aunque él haya decidido no hacerlo?

Sí. El artículo 34.4 del RGPD establece expresamente que «si el responsable del tratamiento todavía no hubiera comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, tras considerar si la violación entrañe un alto riesgo, podrá exigírselo o decidir que se cumple alguna de las condiciones mencionadas en el apartado 3». La AEPD, en el marco de una investigación o de una supervisión activa, puede ordenar al responsable que realice la comunicación si considera que el umbral de alto riesgo está alcanzado y que ninguna de las excepciones del artículo 34.3 resulta aplicable.

¿La comunicación al afectado debe hacerse en todos los idiomas de los interesados?

El RGPD exige que la comunicación se haga en «lenguaje claro y sencillo» (art. 34.2), lo que implica que el afectado debe poder comprenderla sin dificultad. Si los interesados afectados hablan idiomas distintos al de la organización, la comunicación debe realizarse en el idioma del afectado o, al menos, en un idioma que este pueda razonablemente comprender. Las directrices del CEPD sobre comunicación de brechas insisten en este punto, especialmente en contextos transfronterizos o en organizaciones que operan en múltiples países de la Unión Europea.