Pocas cuestiones generan más inseguridad en el ámbito del cumplimiento normativo que la gestión de una brecha de seguridad. Se trata, probablemente, del punto de intersección más crítico entre el Derecho de protección de datos, la ciberseguridad y la responsabilidad empresarial.
Pero, ¿cuándo estamos realmente obligados a comunicar una violación de seguridad? ¿Qué elementos deben valorarse para tomar esa decisión de forma diligente y proporcionada?
Te ofrecemos una respuesta clara, con fundamento, sentido y un lenguaje comprensible para empresas tecnológicas, responsables del tratamiento, asesores y/o directivos.
¿Qué es una brecha de seguridad?
El Reglamento (UE) 2016/679 —Reglamento General de Protección de Datos (RGPD)— define en su artículo 4.12 como violación de seguridad:
“Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos”.
No hablamos, por tanto, de cualquier incidente técnico. Solo será relevante para el RGPD cuando el incidente afecte a datos personales, y esa afectación genere un riesgo —real o potencial— para los derechos y libertades de las personas físicas.
¿A quién debo comunicarlo? ¿Y en qué plazo?
A) A la Agencia Española de Protección de Datos (AEPD)
Artículo 33 RGPD
El responsable debe notificar a la AEPD la brecha en un plazo máximo de 72 horas desde que tenga constancia de ella, siempre que exista un riesgo para los derechos y libertades de las personas afectadas.
La notificación deberá contener:
La naturaleza del incidente
Las categorías y volumen de datos afectados
Las posibles consecuencias
Las medidas adoptadas
Los datos de contacto del DPO (si lo hubiera)
B) A los interesados
Artículo 34 RGPD
Cuando exista un riesgo alto para los derechos y libertades, también será obligatoria la notificación a los propios afectados. En este caso, sin dilación indebida, aunque sin un plazo tasado.
Supuesto simulado
Nombre de la empresa: Iafugadedatos S.L
Actividad: plataforma de inteligencia artificial aplicada a salud cognitiva.
Fecha del incidente: 12 de junio de 2025.
Un proveedor externo de hosting sufre un fallo de seguridad que expone los historiales clínicos anonimizados, pero reversibles, de 1.200 pacientes. El acceso no autorizado se produjo durante 7 horas, y los datos no estaban cifrados, aunque sí protegidos por contraseña.
Análisis:
Se trata de datos de salud, por tanto, categoría especial (art. 9 RGPD).
El volumen es considerable.
Los datos no estaban suficientemente protegidos.
El incidente fue causado por un tercero, pero el responsable sigue siendo la empresa.
Como actuar:
Se notifica a la AEPD dentro del plazo de 72 horas.
Se comunica a los pacientes, informando con claridad y proponiendo medidas de mitigación.
Se documenta todo el proceso conforme al principio de responsabilidad proactiva (art. 5.2 RGPD).
¿Cuándo puedo no comunicar a los afectados?
El artículo 34.3 del RGPD permite excluir la notificación a los interesados en tres supuestos:
- Si los datos estaban cifrados o protegidos eficazmente, y son ininteligibles sin claves adicionales.
- Si se adoptaron medidas posteriores que neutralizan el riesgo.
- Si la comunicación implica un esfuerzo desproporcionado, en cuyo caso puede optarse por una comunicación pública equivalente.
En todos los casos, la notificación a la AEPD sigue siendo obligatoria, salvo que se demuestre la inexistencia de riesgo.
¿Cómo se valora el riesgo?
La Guía de la AEPD sobre gestión de brechas de seguridad establece criterios técnicos y jurídicos para valorar el riesgo. Entre los más relevantes:
Naturaleza y sensibilidad de los datos.
Volumen de personas afectadas.
Facilidad para identificar a los afectados.
Medidas de seguridad existentes.
Consecuencias previsibles: fraude, daño reputacional, exclusión social, etc.
Si hay colectivos vulnerables involucrados (menores, personas mayores).
Impacto en la continuidad de negocio y en la imagen institucional.
En caso de duda, la AEPD ha puesto a disposición de los responsables una herramienta online:
👉 Comunica-Brecha RGPD
https://www.aepd.es/comunica-brecha
Recomendaciones prácticas para empresas
- Implanta un protocolo interno de gestión de incidentes.
- No improvises. El tiempo y la trazabilidad son claves.
- Capacita a tu equipo técnico y jurídico.
La detección temprana reduce daños y responsabilidades. - Asegúrate de documentar todo.
Aunque no comuniques la brecha, necesitas justificar por qué. - Cifra los datos siempre que sea posible.
Es la diferencia entre una comunicación obligatoria y una excepción válida. - Ten contacto directo con tu DPO o asesor externo.
No esperes a tener un problema para definir a tu responsable legal de protección de datos.
Comunicar o no comunicar una brecha no debe ser una decisión impulsiva ni puramente reputacional. Es una obligación legal con plazos estrictos y consecuencias relevantes, tanto para la empresa como para los afectados.
La proactividad, la preparación y el criterio jurídico sólido son los tres pilares de una buena gestión de incidentes. Y, como todo en protección de datos, el riesgo no está en tener un problema, sino en no saber cómo gestionarlo.
¿Tienes dudas sobre cómo actuar ante una brecha de seguridad?
En RAIA conectamos Derecho, tecnología y seguridad para que tú solo te preocupes de tu negocio.
