¿Cómo notificar una brecha de seguridad ante la AEPD? 

Las brechas de seguridad son una de las situaciones más delicadas en materia de protección de datos. Un correo enviado al destinatario equivocado, la pérdida de un dispositivo, un acceso no autorizado a un sistema corporativo o un ataque informático pueden comprometer datos personales y generar obligaciones legales para la organización.

Las brechas de seguridad son una de las situaciones más delicadas en materia de protección de datos. Un correo enviado al destinatario equivocado, la pérdida de un dispositivo, un acceso no autorizado a un sistema corporativo o un ataque informático pueden comprometer datos personales y generar obligaciones legales para la organización.

Ahora bien, no todo incidente de seguridad debe notificarse automáticamente a la Agencia Española de Protección de Datos (AEPD). Antes de comunicar una brecha, la organización conviene tener claros cinco puntos: qué se considera brecha, cuándo hay que notificar, cómo gestionarla, qué información aportar y por qué hay que documentarla siempre.

¿Qué se considera una brecha de seguridad?

Una brecha de seguridad de datos personales es cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de datos personales.

La clave no está solo en que exista un fallo técnico, sino en determinar si ese fallo ha afectado a datos personales.

Los seis supuestos más habituales son:

  • El envío de documentación laboral, sanitaria o financiera a un destinatario equivocado.
  • La pérdida o robo de un ordenador portátil, teléfono móvil o memoria USB con datos personales.
  • Un acceso no autorizado a una cuenta de correo, CRM, ERP o sistema corporativo.
  • Un ataque de ransomware que impide acceder a información necesaria para prestar un servicio.
  • La modificación indebida de datos de clientes, pacientes, empleados o usuarios.
  • La divulgación accidental de bases de datos o ficheros con información personal.

Por tanto, la clave no está solo en que exista un problema técnico, sino en determinar si ese problema ha afectado a datos personales.

¿Cuándo debe notificarse una brecha de seguridad a la AEPD?

La notificación a la AEPD será necesaria cuando la brecha pueda suponer un riesgo para los derechos y libertades de las personas físicas, y debe realizarse sin dilación indebida en un plazo máximo de 72 horas desde que se tiene constancia (art. 33 RGPD). El plazo empieza a contar desde que la organización adquiere un grado razonable de certeza de que se ha producido el incidente.

Para valorar ese riesgo deben valorarse las posibles consecuencias del incidente, como la suplantación de identidad, el fraude, la pérdida de confidencialidad, los perjuicios económicos, la discriminación, el daño reputacional u otros efectos negativos para las personas afectadas.

Si tras el análisis se concluye que es improbable que la brecha genere un riesgo para las personas, no será necesario notificar a la AEPD. No obstante, la organización deberá documentar internamente lo ocurrido. 

Cuando sí exista riesgo, la notificación deberá realizarse sin dilación indebida y en un plazo máximo de 72 horas desde que la organización tenga constancia de la brecha. Si en ese momento no se dispone de toda la información, podrá realizarse una notificación inicial y completarla posteriormente de forma progresiva.

Además, si la brecha puede entrañar un alto riesgo para las personas afectadas, también será necesario comunicarles el incidente de forma clara y comprensible. 

Para facilitar esta valoración, la AEPD pone a disposición de los responsables del tratamiento la herramienta Comunica-Brecha RGPD, un recurso orientado a ayudar a determinar si existe obligación de informar a las personas físicas afectadas por una brecha de seguridad de datos personales.

¿Cómo debe gestionarse una brecha de seguridad?

Ante una posible brecha de seguridad, es recomendable seguir una metodología ordenada de cuatro fases: identificar, contener, analizar y notificar, que permita actuar con rapidez y dejar constancia de las decisiones adoptadas.

En primer lugar, debe identificarse el incidente: qué ha ocurrido, cuándo se ha detectado, qué sistemas o soportes están afectados y si existen datos personales implicados. A continuación, deben adoptarse medidas inmediatas de contención para evitar que el incidente siga produciendo efectos, como bloquear accesos, recuperar información, aislar equipos, cambiar credenciales o contactar con el destinatario erróneo de una comunicación.

Después, la organización debe analizar qué categorías de datos se han visto afectadas, cuántas personas pueden estar implicadas, qué consecuencias podría tener el incidente y qué medidas de seguridad existían previamente. Esta valoración será la base para decidir si procede notificar la brecha a la AEPD y comunicar a las personas afectadas.

La notificación a la AEPD debe realizarse a través de los medios electrónicos habilitados en la Sede Electrónica de la AEPD.

¿Qué información debe incluir la notificación a la AEPD?

Aunque cada caso debe analizarse de forma individual, la notificación debería recoger, al menos, la siguiente información:

  • Naturaleza de la brecha de seguridad.
  • Fecha y hora aproximada del incidente y de su detección.
  • Categorías de datos personales afectados.
  • Número aproximado de personas afectadas.
  • Sistemas, servicios o soportes implicados.
  • Posibles consecuencias para las personas.
  • Medidas adoptadas para contener y corregir la brecha.
  • Medidas previstas para evitar que vuelva a producirse.
  • Datos de contacto del Delegado de Protección de Datos o persona responsable de la gestión del incidente, cuando proceda.

Si no se dispone de toda la información dentro del plazo inicial, es preferible realizar una notificación preliminar y ampliarla posteriormente, en lugar de esperar a tener cerrado todo el análisis.

¿Por qué es importante documentar la brecha aunque no se notifique?

Con independencia de que la brecha se notifique o no a la AEPD, el artículo 33.5 del RGPD obliga a la organización a documentar internamente todo incidente que afecte a datos personales. Esta documentación permite acreditar que se ha realizado una valoración razonada del riesgo y que se han adoptado medidas adecuadas para gestionar la situación, en línea con el principio de responsabilidad proactiva.

El registro interno debe incluir los hechos ocurridos, la causa del incidente, los datos afectados, la valoración del riesgo, la decisión adoptada sobre la notificación, las medidas correctoras aplicadas y las evidencias disponibles.

Contar con un procedimiento interno de gestión de brechas facilita una respuesta más rápida, reduce el impacto del incidente y ayuda a demostrar una actuación diligente ante la autoridad de control.

Notificar una brecha de seguridad ante la AEPD no debe entenderse como un simple trámite, sino como parte de una gestión responsable de la protección de datos

Una respuesta ordenada y bien documentada no solo ayuda a cumplir con la normativa, sino que permite reducir el impacto de la brecha y mejorar la protección de los derechos de las personas afectadas.

Preguntas frecuentes sobre la notificación de brechas a la AEPD

¿Cuál es el plazo para notificar una brecha de seguridad a la AEPD?

El plazo máximo es de 72 horas desde que la organización tiene constancia de la brecha, sin dilación indebida, conforme al artículo 33 del RGPD. Si no se dispone de toda la información, puede presentarse una notificación inicial y completarla después.

¿Todas las brechas de seguridad deben notificarse a la AEPD?

No. Solo deben notificarse las que puedan suponer un riesgo para los derechos y libertades de las personas físicas. Si es improbable que exista riesgo, no hace falta notificar, pero sí documentar internamente el incidente.

¿Cuándo hay que comunicar la brecha a las personas afectadas?

Cuando la brecha pueda entrañar un alto riesgo para sus derechos y libertades, según el artículo 34 del RGPD. La comunicación debe hacerse sin dilación indebida, en lenguaje claro y sencillo, e indicar las medidas y recomendaciones para que los afectados se protejan.

¿Qué sanción conlleva no notificar una brecha de seguridad?

El incumplimiento de los artículos 33 y 34 del RGPD puede sancionarse con multa de hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial, la cantidad que resulte mayor (art. 83.4 RGPD).

¿Cómo se presenta la notificación ante la AEPD?

A través de la Sede Electrónica de la AEPD, mediante el formulario electrónico habilitado para la notificación de brechas de datos personales. La AEPD también ofrece la herramienta Comunica-Brecha RGPD para valorar si procede informar a los afectados.

¿Qué debe contener el registro interno de la brecha?

Los hechos ocurridos, la causa, los datos afectados, la valoración del riesgo, la decisión sobre la notificación, las medidas correctoras y las evidencias. Este registro es obligatorio en virtud del artículo 33.5 del RGPD, se notifique o no la brecha.

¿Necesitas un procedimiento de gestión de brechas para tu organización?

En Gesprodat te ayudamos a diseñar e implantar un protocolo de detección, valoración y notificación de brechas conforme al RGPD, con plantillas de registro interno y acompañamiento en la comunicación a la AEPD. Contacta con nuestro equipo y protege a tu organización antes de que ocurra el incidente.

 

Share: