Auratech Legal Solutions

Brecha de seguridad: cuándo notificar a la AEPD y qué hacer en 72 horas

Una brecha de seguridad de datos personales no es cualquier incidente informático. Es una violación de seguridad que provoca destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a datos personales. Puede afectar a clientes, trabajadores, proveedores, usuarios o pacientes.

Notificación de brechas de seguridad de datos personales

El RGPD exige actuar con rapidez. Si la brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control sin dilación indebida y, cuando sea posible, en un máximo de 72 horas desde que la organización tiene conocimiento del incidente.

Cuándo debes notificar una brecha a la AEPD

La notificación procede cuando la brecha puede generar riesgo para las personas afectadas. Por ejemplo: exposición de datos identificativos, financieros, sanitarios, credenciales, documentos de identidad, datos de menores, información laboral sensible o accesos no autorizados a bases de datos.

No toda incidencia requiere notificación, pero todas deben analizarse y documentarse. Si la brecha es improbable que suponga riesgo, puede no notificarse, aunque conviene conservar la evaluación realizada.

Cuándo informar a las personas afectadas

Además de notificar a la AEPD, puede ser obligatorio comunicar la brecha a las personas afectadas cuando exista un riesgo alto para sus derechos y libertades. La comunicación debe ser clara, explicar qué ha ocurrido, qué datos se han visto afectados, posibles consecuencias y medidas recomendadas.

Qué hacer en las primeras 72 horas

  1. Contener el incidente: bloquear accesos, aislar sistemas o revocar credenciales comprometidas.
  2. Identificar qué datos personales se han visto afectados.
  3. Determinar número aproximado de personas afectadas y categorías de datos.
  4. Valorar el riesgo para derechos y libertades.
  5. Documentar hechos, fechas, decisiones y medidas adoptadas.
  6. Notificar a la AEPD si procede, aunque la información pueda completarse después.
  7. Preparar comunicación a afectados si existe riesgo alto.

Errores frecuentes

Fuentes oficiales recomendadas

Conclusión

La clave ante una brecha de seguridad es reaccionar rápido, evaluar el riesgo y documentar cada decisión. Tener un protocolo previo reduce errores y permite cumplir el plazo de 72 horas con más seguridad.

Salir de la versión móvil