Respuesta a incidentes

Brechas de seguridad RGPD

Cuando se produce un incidente de seguridad que afecta a datos personales, el reloj del artículo 33 del RGPD empieza a correr desde el primer momento de conocimiento: 72 horas para notificar a la AEPD. Desde Summum Consultoría te acompañamos en todo el proceso: evaluación del riesgo, notificación regulatoria, comunicación a los afectados y registro documental del incidente.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD 3/2018
Plazo clave72 horas desde el conocimiento (art. 33 RGPD)
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

Una brecha de seguridad de datos personales es cualquier incidente que suponga la destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a datos personales, ya sea de forma accidental o ilícita. El concepto abarca desde un correo enviado al destinatario equivocado o un dispositivo portátil extraviado hasta un ataque de ransomware que cifra la base de datos de clientes. El Reglamento (UE) 2016/679 —RGPD— obliga a todo responsable del tratamiento a gestionar estas situaciones con procedimientos documentados y plazos estrictos: notificación a la Agencia Española de Protección de Datos en un máximo de 72 horas cuando la brecha pueda entrañar riesgo para los derechos de las personas afectadas (art. 33), y comunicación directa a esas personas cuando el riesgo sea alto (art. 34).

El problema real que encontramos en la mayoría de las organizaciones no es la ausencia de buena voluntad, sino la falta de un protocolo preestablecido. Cuando ocurre el incidente, el equipo no sabe quién debe decidir si se notifica, qué información debe contener la notificación, a quién hay que comunicar internamente y cómo registrar las actuaciones. El resultado habitual es que las 72 horas transcurren sin notificación, o la notificación que se envía a la AEPD es incompleta, lo que puede agravar la valoración del incidente por parte del regulador. La AEPD considera que disponer de procedimientos previos y actuar diligentemente desde el primer momento es un factor que atenúa la gravedad del incidente.

En Summum Consultoría acompañamos a pymes y medianas empresas en la implantación de un protocolo de gestión de brechas que funcione en la práctica, no solo en el papel. Diseñamos el procedimiento interno, formamos al equipo responsable, y cuando se produce un incidente real, estamos disponibles para asistir en la evaluación del riesgo, la redacción de la notificación a la AEPD, la comunicación a los afectados y la documentación del expediente. No sustituimos a la AEPD ni garantizamos resultados en el procedimiento sancionador, pero sí garantizamos que la organización actúa de forma ordenada, dentro de los plazos y con la documentación que el regulador espera encontrar.

El proceso de Brechas de seguridad RGPD.

El proceso · cuatro tiempos
01

Implantación del protocolo preventivo

Diseñamos y documentamos el procedimiento interno de gestión de brechas de seguridad: criterios para identificar y clasificar incidentes, cadena de notificación interna, plantillas de notificación a la AEPD y de comunicación a afectados, y formato del registro de brechas (art. 33.5 RGPD). El protocolo se integra en los documentos de privacidad existentes y se adapta al tamaño y sector de la organización.

02

Evaluación del riesgo del incidente

Cuando se produce una brecha, analizamos su naturaleza, el tipo y volumen de datos afectados, las categorías de personas afectadas y la probabilidad e impacto del riesgo. Aplicamos la metodología de evaluación reconocida por la AEPD para determinar si la brecha debe notificarse al regulador (art. 33) y si además exige comunicación directa a los afectados (art. 34).

03

Notificación a la AEPD en 72 horas

Redactamos y tramitamos la notificación a través de la sede electrónica de la AEPD dentro del plazo legal. La notificación incluye la descripción de la brecha, las categorías y el número aproximado de afectados y de registros comprometidos, las consecuencias probables y las medidas adoptadas o propuestas para paliar los efectos. Si no se dispone de toda la información en el momento inicial, articulamos la notificación por fases conforme permite el art. 33.4 RGPD.

04

Comunicación a los afectados y cierre documental

Cuando el análisis de riesgo determina que la brecha puede causar daños graves a las personas (riesgo alto, art. 34), elaboramos la comunicación a los afectados en lenguaje claro y con las recomendaciones de protección que exige la norma. Una vez gestionado el incidente, documentamos todo el expediente en el registro de brechas: cronología, decisiones adoptadas, medidas correctoras y de mejora para evitar recurrencias.

Qué incluye

Qué incluye Brechas de seguridad RGPD.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Protocolo interno de gestión de brechas

    Procedimiento documentado para detectar, clasificar, escalar y gestionar incidentes de seguridad de datos: criterios de activación, cadena de comunicación interna, plantillas y asignación de responsabilidades.

  • Evaluación del riesgo (art. 33 RGPD)

    Análisis de la naturaleza del incidente, tipo y volumen de datos afectados, categorías de personas y probabilidad e impacto del riesgo, siguiendo la metodología de la AEPD para determinar si hay obligación de notificar.

  • Notificación a la AEPD en 72 horas

    Redacción y tramitación de la notificación en la sede electrónica de la AEPD con todos los contenidos exigidos por el art. 33 RGPD, incluida la gestión de notificaciones por fases cuando la información no está completa en el momento inicial.

  • Comunicación a los afectados (art. 34 RGPD)

    Redacción de la comunicación a las personas afectadas cuando el riesgo sea alto: descripción de la brecha en lenguaje comprensible, datos de contacto del DPO o responsable, y medidas de protección recomendadas.

  • Registro de brechas (art. 33.5 RGPD)

    Documentación completa del expediente de cada incidente: hechos, efectos, medidas adoptadas y cronología de actuaciones, en el formato que exige el RGPD para acreditar la gestión diligente ante el regulador.

  • Medidas correctoras y de mejora

    Identificación y documentación de las acciones técnicas y organizativas adoptadas tras el incidente para reducir el riesgo de recurrencia y mejorar la postura de seguridad de la organización.

Preguntas frecuentes sobre Brechas de seguridad RGPD.

¿Cuándo hay obligación de notificar una brecha a la AEPD?

El artículo 33 del RGPD obliga a notificar a la autoridad de control —en España, la AEPD— en un plazo máximo de 72 horas desde que el responsable del tratamiento tenga conocimiento de la brecha, siempre que sea probable que suponga un riesgo para los derechos y libertades de las personas físicas afectadas. Si la brecha es improbable que entrañe ese riesgo (por ejemplo, porque los datos estaban cifrados con medidas adecuadas), no es obligatorio notificar, pero sí documentar la decisión en el registro interno de brechas. La valoración del riesgo debe realizarse de forma razonada y documentada.

¿Qué ocurre si no se puede completar la notificación en 72 horas?

El artículo 33.4 del RGPD permite realizar la notificación por fases cuando no se dispone de toda la información en el momento inicial. En ese caso, se presenta la notificación inicial con la información disponible y se completa o modifica en cuanto se conozcan más datos, indicando el motivo de la demora. Este enfoque es preferible a esperar a tener toda la información y superar el plazo de 72 horas. La AEPD valora favorablemente la diligencia de quien notifica aunque la información sea incompleta al inicio, frente a quien retrasa la notificación sin justificación.

¿Cuándo hay que comunicar la brecha directamente a los afectados?

La comunicación a las personas afectadas es obligatoria cuando, además de ser probable el riesgo, ese riesgo sea alto para sus derechos y libertades (art. 34 RGPD). Los criterios para determinar que el riesgo es alto incluyen el tipo de datos afectados —especialmente datos sensibles como salud, datos financieros o datos de menores—, el volumen de afectados, la posibilidad de usurpación de identidad y el grado de identificabilidad de las personas. La comunicación debe hacerse directamente a cada persona afectada y en un lenguaje claro y sencillo, sin dilación indebida.

¿Un ataque de ransomware es siempre una brecha notificable?

Un ataque de ransomware que cifra o bloquea el acceso a datos personales constituye una brecha de seguridad en el sentido del RGPD y debe evaluarse obligatoriamente. Si existen copias de seguridad que permiten restablecer los datos y no hay evidencia de que el atacante haya accedido o exfiltrado los datos, el riesgo para los afectados puede ser bajo y la notificación a la AEPD podría no ser obligatoria, aunque sí la documentación interna. Si hay indicios de acceso o exfiltración de datos, la notificación es prácticamente siempre exigible. La clave es que la evaluación sea rigurosa y documentada, no que se tome la decisión de no notificar sin análisis.

¿Qué sanciones puede imponer la AEPD por no notificar una brecha?

La omisión o el retraso injustificado en la notificación de una brecha a la AEPD puede calificarse como infracción grave, sujeta al régimen sancionador del artículo 83 del RGPD: multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual total, aplicándose la cifra que sea más elevada. En casos de incumplimientos graves del sistema de protección de datos, el marco máximo asciende a 20 millones de euros o el 4 % del volumen de negocio global. La AEPD tiene en cuenta como circunstancias atenuantes la colaboración con el regulador, la diligencia en la notificación y las medidas adoptadas para limitar los daños.

¿Qué debe contener el registro interno de brechas?

El artículo 33.5 del RGPD obliga a documentar todas las brechas, incluso las que no requieran notificación a la AEPD. El registro debe incluir la descripción de los hechos, sus efectos y las medidas correctoras adoptadas. Es el documento que el regulador puede requerir en cualquier momento para verificar que la organización gestiona los incidentes de forma responsable. No existe un formato oficial obligatorio, pero el registro debe ser suficientemente detallado para reconstruir la cronología del incidente y las decisiones tomadas durante su gestión.