Si tu empresa ha sufrido un incidente que afecta a datos personales, la regla general que marca el RGPD es clara: debes notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tienes conocimiento de ella, a través del formulario telemático de su sede electrónica, salvo que sea improbable que el incidente suponga un riesgo para los derechos de las personas afectadas. En las próximas líneas te explicamos, de forma orientativa, de dónde sale ese plazo, qué información hay que aportar, cómo se relaciona con el RGPD, qué pasos seguir y qué ocurre si no se notifica.
El plazo de las 72 horas: cuándo empieza a contar
La referencia que casi todo el mundo recuerda son las 72 horas. Es el plazo máximo que el Reglamento General de Protección de Datos (RGPD) concede al responsable del tratamiento para comunicar la brecha a la autoridad de control, que en España es la AEPD. El matiz importante, y que suele generar dudas, es cuándo arranca ese contador.
El plazo no empieza en el instante exacto en que se produce el ataque o el fallo, sino cuando el responsable tiene conocimiento de la brecha, es decir, cuando alcanza un grado razonable de certeza de que ha ocurrido un incidente de seguridad que ha comprometido datos personales. Por eso la capacidad de tu organización para detectar un incidente con rapidez es tan determinante: cuanto antes lo detectes, antes empieza el reloj de forma controlada y con margen para actuar bien.
Si por las circunstancias del caso no se puede notificar dentro de las 72 horas, todavía es posible hacerlo después, pero la comunicación debe ir acompañada de una explicación motivada del retraso. Notificar tarde sin justificación es precisamente lo que conviene evitar.
La clave está en detectar a tiempo: el plazo de 72 horas se cuenta desde que conoces la brecha, no desde que sucede. Una empresa que tarda semanas en darse cuenta de una fuga de datos no «gana tiempo»; al contrario, agrava su situación. Por eso la detección y la respuesta rápida son la mejor póliza de cumplimiento.
Qué hay que notificar a la AEPD
La notificación no es un simple aviso de «nos han atacado». El RGPD detalla un contenido mínimo que, en líneas generales, debe permitir a la autoridad entender qué ha pasado y valorar el riesgo. De forma orientativa, una notificación suele incluir:
- Naturaleza de la brecha: qué ha sucedido y de qué tipo de incidente se trata (acceso no autorizado, pérdida, robo, cifrado por ransomware, error humano, etc.).
- Categorías y volumen aproximado de afectados: a cuántas personas y a qué tipo de datos personales afecta (datos de contacto, identificativos, financieros, categorías especiales, etc.).
- Posibles consecuencias: qué efectos podría tener la brecha para las personas afectadas.
- Medidas adoptadas o propuestas: qué se ha hecho para contener el incidente, mitigar sus efectos y evitar que se repita.
- Datos de contacto: del delegado de protección de datos (si existe) o del punto de contacto donde ampliar información.
Si en el momento de notificar no dispones de toda la información, no tienes que esperar a tenerla completa: la norma permite notificar por fases e ir completando los detalles a medida que avanza la investigación. Lo importante es no quedarse paralizado por no tenerlo todo claro desde el primer minuto.
Su relación con el RGPD
La obligación de notificar brechas no es una norma española aislada: nace directamente del RGPD, el reglamento europeo de protección de datos, y se complementa en España con la LOPDGDD. El RGPD parte de una idea sencilla: cuando los datos personales de los ciudadanos se ven comprometidos, las personas afectadas y las autoridades tienen derecho a saberlo para poder protegerse.
De ahí surgen, en realidad, dos obligaciones distintas que conviene no confundir. La primera es notificar a la AEPD cuando es probable que la brecha suponga un riesgo para los derechos y libertades de las personas. La segunda, que se activa solo cuando ese riesgo es alto, es comunicar la brecha también a las propias personas afectadas, en lenguaje claro y comprensible, para que puedan tomar medidas (cambiar contraseñas, vigilar movimientos bancarios, etc.).
La pieza que decide todo esto es la evaluación del riesgo. No toda incidencia obliga a notificar: si tras analizarla se concluye que es improbable que genere un riesgo para las personas, puede no ser necesario comunicarla a la AEPD, aunque sí hay que documentar internamente la valoración. Esa evaluación es delicada y, en casos con dudas, es muy recomendable apoyarse en criterio profesional para no equivocarse ni por exceso ni por defecto.
Pasos para gestionar y notificar una brecha
Cuando salta la alarma, tener un guion definido marca la diferencia entre una gestión ordenada y el caos. A grandes rasgos, una respuesta razonable sigue estas fases:
- Detectar y confirmar: identificar que ha ocurrido un incidente y verificar que realmente afecta a datos personales.
- Contener: frenar la brecha para que no siga creciendo (aislar equipos, revocar accesos, cortar la vía de entrada).
- Evaluar el riesgo: analizar qué datos y cuántas personas se ven afectadas y qué consecuencias podría tener, para decidir si procede notificar.
- Notificar a la AEPD: si corresponde, presentar la comunicación a través de la sede electrónica de la Agencia dentro de las 72 horas, por fases si es necesario.
- Comunicar a los afectados: cuando el riesgo es alto, informar también a las personas afectadas de forma clara.
- Documentar y aprender: registrar todo el incidente y las decisiones tomadas, y reforzar las medidas para que no vuelva a ocurrir.
Buena parte de estos pasos son, en el fondo, un proceso técnico de respuesta ante incidentes: detectar, contener, investigar y recuperar. Tener ese proceso preparado antes de que pase algo es lo que permite cumplir el plazo legal sin improvisar. Y, en paralelo, las auditorías de seguridad ayudan a reducir la probabilidad de que la brecha llegue a producirse, identificando los puntos débiles a tiempo.
Consecuencias de no notificar
No notificar una brecha cuando procede, o hacerlo fuera de plazo y sin justificación, constituye un incumplimiento del RGPD y puede abrir un procedimiento sancionador por parte de la AEPD. El régimen sancionador europeo contempla multas que pueden ser elevadas, calibradas según la gravedad, la diligencia mostrada y otras circunstancias del caso. No vamos a citar cifras exactas porque dependen de cada situación concreta, pero el orden de magnitud es lo bastante serio como para tomárselo en serio.
Más allá de la posible sanción económica, hay un coste que muchas empresas subestiman: el daño reputacional. Que se sepa que hubo una brecha y que, además, se ocultó o se gestionó mal, erosiona la confianza de clientes y proveedores mucho más que el propio incidente. Por el contrario, una organización que detecta, contiene y notifica con diligencia transmite seriedad incluso en un mal momento.
La conclusión práctica es sencilla: lo barato y lo seguro es estar preparado. Contar con detección, copias de seguridad, un plan de respuesta y, si hace falta, asesoramiento especializado, no solo reduce el riesgo de sufrir una brecha, sino que permite reaccionar dentro de los plazos legales cuando ocurre lo inevitable. Si quieres revisar cómo está tu empresa en este punto, en 3L Systems podemos ayudarte a poner en marcha un plan de respuesta ante incidentes y a reforzar tu seguridad de forma realista y a tu medida.
Preguntas frecuentes
¿Cuál es el plazo para notificar una brecha de seguridad a la AEPD?
El RGPD establece, con carácter general, un plazo máximo de 72 horas desde que el responsable del tratamiento tiene conocimiento de la brecha. El cómputo arranca cuando hay un grado razonable de certeza de que se ha producido un incidente que afecta a datos personales, no en el momento exacto del ataque. Si se notifica pasadas las 72 horas, hay que acompañar la comunicación de los motivos del retraso.
¿Siempre hay que notificar una brecha a la AEPD?
No necesariamente. La notificación procede cuando es probable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas. Si tras evaluarla se concluye que es improbable que exista ese riesgo, puede no ser obligatorio notificarla, aunque sí se debe documentar internamente la valoración. La evaluación del riesgo es la pieza clave y conviene apoyarse en criterio profesional.
¿Tengo que avisar también a las personas afectadas?
Cuando la brecha entraña un alto riesgo para los derechos y libertades de las personas, el RGPD obliga a comunicárselo también a los propios afectados, además de notificar a la AEPD. La comunicación debe ser clara, en lenguaje sencillo, y explicar qué ha pasado, las posibles consecuencias y las medidas adoptadas o recomendadas.
¿Qué pasa si no notifico una brecha de seguridad?
No notificar cuando procede o hacerlo fuera de plazo es un incumplimiento del RGPD que puede derivar en procedimientos sancionadores. El régimen sancionador europeo contempla multas elevadas, y al daño económico se suma el reputacional. Por eso lo prudente es detectar, evaluar y, cuando corresponda, notificar con diligencia, dejando constancia de cada paso.
¿Cómo se presenta la notificación a la AEPD?
La notificación se presenta de forma telemática a través de la sede electrónica de la Agencia Española de Protección de Datos, que dispone de un formulario específico para comunicar quiebras de seguridad. Si en el momento de notificar no se conocen todos los detalles, se puede informar por fases y completar la información posteriormente.