Las brechas de seguridad deben ser notificadas

Una brecha de seguridad de datos personales no es cualquier incidente informático. Es una violación de seguridad que provoca destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a datos personales. Puede afectar a clientes, trabajadores, proveedores, usuarios o pacientes.

Notificación de brechas de seguridad de datos personales

El RGPD exige actuar con rapidez. Si la brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control sin dilación indebida y, cuando sea posible, en un máximo de 72 horas desde que la organización tiene conocimiento del incidente.

Cuándo debes notificar una brecha a la AEPD

La notificación procede cuando la brecha puede generar riesgo para las personas afectadas. Por ejemplo: exposición de datos identificativos, financieros, sanitarios, credenciales, documentos de identidad, datos de menores, información laboral sensible o accesos no autorizados a bases de datos.

No toda incidencia requiere notificación, pero todas deben analizarse y documentarse. Si la brecha es improbable que suponga riesgo, puede no notificarse, aunque conviene conservar la evaluación realizada.

Cuándo informar a las personas afectadas

Además de notificar a la AEPD, puede ser obligatorio comunicar la brecha a las personas afectadas cuando exista un riesgo alto para sus derechos y libertades. La comunicación debe ser clara, explicar qué ha ocurrido, qué datos se han visto afectados, posibles consecuencias y medidas recomendadas.

Qué hacer en las primeras 72 horas

  1. Contener el incidente: bloquear accesos, aislar sistemas o revocar credenciales comprometidas.
  2. Identificar qué datos personales se han visto afectados.
  3. Determinar número aproximado de personas afectadas y categorías de datos.
  4. Valorar el riesgo para derechos y libertades.
  5. Documentar hechos, fechas, decisiones y medidas adoptadas.
  6. Notificar a la AEPD si procede, aunque la información pueda completarse después.
  7. Preparar comunicación a afectados si existe riesgo alto.

Errores frecuentes

  • Esperar a conocer todos los detalles antes de iniciar la evaluación.
  • No registrar internamente incidentes que finalmente no se notifican.
  • Confundir una incidencia técnica con una brecha de datos personales sin analizar el impacto.
  • No revisar contratos con encargados que hayan sufrido o detectado el incidente.
  • No tener preparado un protocolo interno de respuesta.

Fuentes oficiales recomendadas

Conclusión

La clave ante una brecha de seguridad es reaccionar rápido, evaluar el riesgo y documentar cada decisión. Tener un protocolo previo reduce errores y permite cumplir el plazo de 72 horas con más seguridad.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *