Una brecha de seguridad RGPD, denominada formalmente violación de la seguridad de los datos personales, es toda incidencia que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. Los artículos 33 y 34 del Reglamento General de Protección de Datos establecen obligaciones específicas de notificación que todo responsable del tratamiento debe cumplir en plazos muy estrictos. En España, la AEPD recibió en 2024 un total de 2.059 notificaciones de brechas de seguridad, lo que representa un incremento del 16% respecto al año anterior. La tendencia al alza se acentuó en 2025, cuando la Agencia registró 2.765 notificaciones de brechas de datos personales --el 80 % procedentes del sector privado–, y los responsables emitieron más de 200 millones de comunicaciones a afectados por existencia de alto riesgo (AEPD, enero 2026). Esta cifra confirma que las brechas no son un fenómeno excepcional, sino un riesgo operativo constante que cualquier organización debe estar preparada para gestionar.
Esta guía analiza cuándo y cómo notificar una brecha de seguridad según el RGPD, qué contenido debe incluir la notificación, cuándo es obligatorio comunicar la brecha a los propios interesados y qué consecuencias tiene el incumplimiento de estas obligaciones.
¿Qué se considera una brecha de seguridad según el RGPD?
El artículo 4.12 del RGPD define la violación de la seguridad de los datos personales de forma amplia. No se limita a los ciberataques o accesos maliciosos, sino que abarca cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de los datos personales.
Tipos de brechas de seguridad
Las directrices del CEPD sobre notificación de brechas distinguen tres categorías fundamentales. Las brechas de confidencialidad se producen cuando se divulgan o acceden a datos personales de forma no autorizada. Las brechas de integridad ocurren cuando los datos se alteran sin autorización. Las brechas de disponibilidad tienen lugar cuando se pierde el acceso a los datos o estos se destruyen sin posibilidad de recuperación. Un mismo incidente puede combinar varias categorías, como un ataque de ransomware que cifra los datos (disponibilidad) y los exfiltra (confidencialidad).
En la práctica, las brechas más frecuentes notificadas a la AEPD incluyen el envío de comunicaciones a destinatarios erróneos, el acceso no autorizado a sistemas por empleados, la pérdida de dispositivos con datos personales y los ataques de ransomware, que representaron el 38% de las brechas notificadas en 2024.
¿Cuándo debe notificarse una brecha de seguridad a la AEPD?
El artículo 33 del RGPD establece que el responsable del tratamiento debe notificar la brecha de seguridad a la autoridad de control competente sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a haber tenido constancia de ella. Este plazo comienza a contar desde el momento en que el responsable adquiere un grado razonable de certeza de que se ha producido un incidente de seguridad que afecta a datos personales.
Excepciones a la obligación de notificación
No todas las brechas deben notificarse a la AEPD. El artículo 33.1 del RGPD exime de la notificación cuando sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas. Esta evaluación debe documentarse conforme al principio de responsabilidad proactiva: aunque no se notifique, el responsable debe registrar internamente la brecha, sus efectos y las medidas adoptadas.
La evaluación del riesgo debe considerar la naturaleza de los datos afectados, el volumen de datos y de personas afectadas, la gravedad de las consecuencias potenciales para los interesados y las características del destinatario no autorizado. La realización previa de una evaluación de impacto facilita significativamente este análisis al disponer de una valoración de riesgos ya elaborada.
Contenido obligatorio de la notificación a la AEPD
La notificación a la AEPD debe contener información precisa y detallada sobre el incidente. El artículo 33.3 del RGPD establece los elementos mínimos que debe incluir.
Elementos de la notificación
La notificación debe describir la naturaleza de la brecha de seguridad, indicando, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados. También debe comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto donde pueda obtenerse más información. Asimismo, la notificación debe describir las consecuencias probables de la brecha y las medidas adoptadas o propuestas para remediar la brecha y mitigar sus posibles efectos negativos.
La AEPD pone a disposición de los responsables un formulario electrónico de notificación a través de su sede electrónica que estructura estos requisitos y facilita el cumplimiento del contenido obligatorio. Cuando no sea posible facilitar toda la información simultáneamente, el artículo 33.4 del RGPD permite proporcionarla de forma gradual sin dilación indebida.
¿Cuándo debe comunicarse la brecha a los propios interesados?
Además de la notificación a la AEPD, el artículo 34 del RGPD establece una obligación adicional de comunicación directa a los interesados cuando la brecha de seguridad entrañe un alto riesgo para sus derechos y libertades.
Criterios de alto riesgo y excepciones
La comunicación a los interesados debe realizarse sin dilación indebida y en un lenguaje claro y sencillo. La determinación del alto riesgo requiere evaluar la probabilidad y la gravedad del impacto sobre los interesados. El CEPD considera que existe alto riesgo cuando la brecha puede generar discriminación, usurpación de identidad, pérdidas financieras, daño reputacional u otros perjuicios significativos.
El artículo 34.3 del RGPD contempla tres supuestos en los que la comunicación a los interesados no es obligatoria: cuando el responsable haya adoptado medidas técnicas que hagan ininteligibles los datos para terceros no autorizados, como el cifrado; cuando el responsable haya adoptado medidas posteriores que garanticen que ya no existe la probabilidad de que se materialice el alto riesgo; o cuando suponga un esfuerzo desproporcionado, en cuyo caso se deberá optar por una comunicación pública.
Gestión interna de la brecha de seguridad
La capacidad de una organización para responder eficazmente ante una brecha de seguridad depende en gran medida de la preparación previa. Un plan de respuesta ante incidentes bien definido reduce significativamente el tiempo de detección y notificación.
Registro interno de brechas
El artículo 33.5 del RGPD obliga al responsable a documentar cualquier brecha de seguridad, con inclusión de los hechos relacionados, sus efectos y las medidas correctivas adoptadas. Este registro interno debe mantenerse independientemente de si la brecha se ha notificado a la AEPD, y constituye un elemento esencial de la checklist RGPD de cualquier organización. La AEPD puede solicitar el acceso a este registro durante procedimientos de inspección, y su ausencia puede considerarse un incumplimiento del principio de responsabilidad proactiva.
Es fundamental que la organización establezca protocolos internos de detección y escalado que permitan a cualquier empleado que identifique un posible incidente notificarlo inmediatamente al equipo responsable. La coordinación con el delegado de protección de datos, la dirección de la empresa y, en su caso, los proveedores de servicios informáticos resulta imprescindible para una respuesta rápida y ordenada. Para una visión integral del cumplimiento, consulte nuestra guía de cumplimiento RGPD.
¿Qué sanciones prevé el RGPD por no notificar una brecha de seguridad?
El incumplimiento de las obligaciones de notificación constituye una infracción del RGPD que puede sancionarse con multas de hasta diez millones de euros o el dos por ciento del volumen de negocio anual global del grupo empresarial, aplicándose la cifra superior. En los casos más graves, cuando la falta de notificación se combine con deficiencias de seguridad sustantivas, las multas pueden alcanzar el umbral superior de veinte millones de euros o el cuatro por ciento del volumen de negocio.
La LOPDGDD tipifica estas infracciones en su articulado y la AEPD ha sancionado a organizaciones tanto por la ausencia total de notificación como por notificaciones excesivamente tardías o incompletas. Las sanciones RGPD en materia de brechas de seguridad representan una proporción creciente de la actividad sancionadora de la AEPD. Consulte también nuestro análisis sobre multas RGPD para una perspectiva europea de la cuestión.
La gestión adecuada de los derechos ARCO de los interesados tras una brecha de seguridad resulta igualmente relevante, ya que los afectados pueden ejercer su derecho de acceso para conocer el alcance de la brecha y su derecho de supresión respecto de los datos comprometidos.
FAQ
¿Qué ocurre si la brecha se descubre después de las 72 horas?
El plazo de 72 horas comienza a contar desde que el responsable tiene constancia de la brecha, no desde que se produjo el incidente. Si la notificación se realiza fuera de plazo, el responsable debe acompañarla de los motivos de la dilación. La AEPD evalúa caso por caso y puede aceptar demoras justificadas, por ejemplo cuando la investigación del incidente requiera un tiempo razonable para determinar su alcance. Sin embargo, la notificación tardía injustificada constituye una infracción independiente.
Obligaciones del encargado del tratamiento ante una brecha
El encargado del tratamiento tiene la obligación de notificar la brecha al responsable sin dilación indebida, conforme al artículo 33.2 del RGPD. El contrato de encargado debe prever esta obligación y establecer los plazos y canales de comunicación. Es el responsable quien decide si se cumplen los requisitos para notificar a la AEPD y a los interesados, pero el encargado debe facilitar toda la información necesaria para que el responsable pueda cumplir sus obligaciones dentro del plazo establecido.
Relación entre brechas de seguridad y evaluaciones de impacto
Las brechas de seguridad y las evaluaciones de impacto están estrechamente vinculadas. Una evaluación de impacto bien realizada identifica los riesgos de seguridad antes de que se materialicen y establece medidas preventivas. Cuando se produce una brecha, la existencia de una evaluación de impacto previa demuestra la diligencia del responsable y puede considerarse un factor atenuante en la determinación de posibles sanciones. Además, tras una brecha significativa, la AEPD puede exigir la realización o actualización de la evaluación de impacto del tratamiento afectado.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
