Una brecha de seguridad de datos personales no es cualquier incidente informático. Es una violación de seguridad que provoca destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a datos personales. Puede afectar a clientes, trabajadores, proveedores, usuarios o pacientes.

El RGPD exige actuar con rapidez. Si la brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control sin dilación indebida y, cuando sea posible, en un máximo de 72 horas desde que la organización tiene conocimiento del incidente.
En este artículo vamos a tratar...
Cuándo debes notificar una brecha a la AEPD
La notificación procede cuando la brecha puede generar riesgo para las personas afectadas. Por ejemplo: exposición de datos identificativos, financieros, sanitarios, credenciales, documentos de identidad, datos de menores, información laboral sensible o accesos no autorizados a bases de datos.
No toda incidencia requiere notificación, pero todas deben analizarse y documentarse. Si la brecha es improbable que suponga riesgo, puede no notificarse, aunque conviene conservar la evaluación realizada.
Cuándo informar a las personas afectadas
Además de notificar a la AEPD, puede ser obligatorio comunicar la brecha a las personas afectadas cuando exista un riesgo alto para sus derechos y libertades. La comunicación debe ser clara, explicar qué ha ocurrido, qué datos se han visto afectados, posibles consecuencias y medidas recomendadas.
Qué hacer en las primeras 72 horas
- Contener el incidente: bloquear accesos, aislar sistemas o revocar credenciales comprometidas.
- Identificar qué datos personales se han visto afectados.
- Determinar número aproximado de personas afectadas y categorías de datos.
- Valorar el riesgo para derechos y libertades.
- Documentar hechos, fechas, decisiones y medidas adoptadas.
- Notificar a la AEPD si procede, aunque la información pueda completarse después.
- Preparar comunicación a afectados si existe riesgo alto.
Errores frecuentes
- Esperar a conocer todos los detalles antes de iniciar la evaluación.
- No registrar internamente incidentes que finalmente no se notifican.
- Confundir una incidencia técnica con una brecha de datos personales sin analizar el impacto.
- No revisar contratos con encargados que hayan sufrido o detectado el incidente.
- No tener preparado un protocolo interno de respuesta.
Fuentes oficiales recomendadas
- AEPD: guía para la notificación de brechas de datos personales.
- AEPD: notificación de brechas de datos personales.
- AEPD: herramienta Comunica-Brecha RGPD.
- AEPD: comunicación de brechas a personas afectadas.
Conclusión
La clave ante una brecha de seguridad es reaccionar rápido, evaluar el riesgo y documentar cada decisión. Tener un protocolo previo reduce errores y permite cumplir el plazo de 72 horas con más seguridad.