¿Qué es una brecha de seguridad según el RGPD?

Es cualquier violación de la seguridad de los datos personales que implique destrucción, pérdida, alteración, divulgación o acceso no autorizado a dichos datos.

¿Cuánto tiempo hay para notificar una brecha a la AEPD?

El RGPD establece un plazo máximo de 72 horas desde que se tiene constancia del incidente, cuando la brecha pueda suponer un riesgo para los derechos y libertades de las personas.

¿Siempre es obligatorio notificar una brecha de seguridad?

No siempre. Solo es obligatorio cuando el incidente puede implicar un riesgo para los derechos y libertades de las personas. En cualquier caso, la decisión debe documentarse.

¿Cuándo hay que comunicar la brecha a los afectados?

Cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas afectadas, además de la notificación a la AEPD, debe comunicarse directamente a los interesados.

¿Cómo puede ayudar DAXIA en la gestión de brechas?

DAXIA ayuda a las empresas a implantar protocolos de gestión de brechas, evaluar el riesgo, documentar el incidente, preparar notificaciones a la AEPD y establecer medidas correctoras para evitar recurrencias.

Gestión de brechas de seguridad (RGPD)

Una brecha puede ocurrirle a cualquiera. La diferencia está en cómo respondes: contención, evaluación del riesgo, registro de evidencias y, si procede, notificación en plazo.

Protocolo claro (72h) + documentación
Comunicación a AEPD y afectados cuando corresponda
Medidas correctoras y prevención de recurrencias

Solicitar más información

¿Qué es una brecha de seguridad?

Una brecha de seguridad de datos personales es un incidente que provoca la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales. Puede deberse a un ataque (phishing/ransomware), un error humano, una mala configuración o un fallo de proveedor.

Ejemplos habituales en pymes

Cuenta de correo comprometida y envío de correos fraudulentos
Robo de credenciales (phishing) con acceso a CRM/ERP
Exposición de datos por configuración incorrecta (carpetas/servidores)
Ransomware con cifrado y posible exfiltración

¿Qué está en juego?

Continuidad del negocio (paradas, bloqueos, pérdida de productividad)
Riesgo legal y reputacional
Fraudes por suplantación (BEC) y robo de identidad
Costes de respuesta y recuperación

¿Cuándo hay que notificar a la AEPD?

No todas las brechas implican notificación, pero cuando el incidente puede suponer un riesgo para los derechos y libertades de las personas, el RGPD exige notificar a la autoridad de control (la AEPD) en un máximo de 72 horas desde que se tiene constancia.

Se suele notificar cuando…

Hay exposición de datos identificativos, contacto, bancarios, etc.
Se han comprometido credenciales o accesos a sistemas con datos
Hay dudas razonables sobre alcance o exfiltración
El incidente afecta a un volumen relevante o a datos sensibles

¿Y comunicar a los afectados?

Si el riesgo es alto, además de la notificación a la AEPD, puede ser necesaria la comunicación a las personas afectadas de forma clara y comprensible.

La clave es evaluar bien el riesgo y documentarlo.

Recursos AEPD: Guía de gestión y notificación de brechas (PDF) · Guiado/Asistente de brechas

Cómo gestionamos una brecha contigo

Actuamos con método: contención, evidencia, riesgo y cumplimiento. Para que respondas rápido y con seguridad jurídica.

Contención y evidencias

Ayudamos a detener la fuga/impacto (cambios de credenciales, aislar equipos, revisar accesos) y a recopilar evidencias: qué pasó, cuándo, qué sistemas y qué datos.

Evaluación de riesgo

Determinamos el tipo de datos afectados, el alcance, la probabilidad de uso indebido y el impacto. Con ello definimos si procede notificar a AEPD y/o comunicar a afectados.

Notificación y cierre

Preparamos la documentación, el registro de brecha y, si corresponde, la notificación. Después, definimos medidas correctoras y un plan para evitar recurrencias.

¿Qué incluye nuestro servicio?

Protocolo de gestión de brechas “listo para usar”
Registro de brechas y evidencias (accountability)
Plantillas de comunicación a afectados (si aplica)
Soporte para notificación a AEPD cuando proceda

Coordinación con IT / proveedor / ciberseguridad
Medidas correctoras y plan de mejora
Simulacros (table-top) para entrenar al equipo
Integración con RGPD: análisis de riesgos, DPD, políticas y procedimientos

¿Tienes un incidente o quieres estar preparado?

Si sospechas una brecha o quieres implantar un protocolo antes de que ocurra, te ayudamos a responder con rapidez, documentación y seguridad jurídica.

Hablar con un experto

Preguntas frecuentes

¿Qué plazo tengo para notificar una brecha?

Con carácter general, el RGPD establece un plazo máximo de 72 horas desde que se tiene constancia, si la brecha puede suponer un riesgo para los derechos y libertades de las personas.

¿Siempre hay que notificar a la AEPD?

No siempre. Depende del tipo de datos, el alcance y el riesgo. Lo importante es evaluar y documentar la decisión (se notifique o no).

¿Qué pasa si no tengo protocolo?

Suele traducirse en retrasos, decisiones improvisadas y falta de evidencias. Un protocolo reduce el impacto y ayuda a demostrar diligencia y responsabilidad proactiva.

¿Podéis ayudar si el incidente ya ha ocurrido?

Sí. Podemos ayudarte a contener, evaluar el riesgo, documentar evidencias, preparar el registro y, si procede, apoyar la notificación y comunicaciones necesarias.

Recursos: INCIBE 017 · Guía AEPD (PDF)