En una frase. Un procedimiento ante brechas de seguridad define, antes de que ocurra el incidente, quién hace qué en las primeras 72 horas: detección, contención, evaluación del riesgo, decisión de notificar a la AEPD y, en su caso, comunicación a los afectados. Improvisar bajo presión es lo que agrava las sanciones.
Cuando estalla una brecha, el reloj del art. 33 RGPD ya corre. No es momento de decidir quién evalúa el riesgo ni cómo se redacta la notificación. Este modelo de procedimiento reparte roles y fija un cronograma para que la respuesta sea inmediata y trazable.
Puntos clave
- El procedimiento debe existir por escrito y antes del incidente; es parte de la responsabilidad proactiva (art. 5.2).
- Define roles: quién detecta, quién contiene, quién evalúa el riesgo y quién decide notificar.
- El cronograma de 72 horas empieza desde el conocimiento de la brecha, no desde su cierre.
- Toda brecha se documenta, se notifique o no (art. 33.5).
- Un procedimiento probado reduce el tiempo de respuesta y es un factor atenuante ante la AEPD.
Por qué necesitas un procedimiento previo
El art. 33 RGPD impone notificar en 72 horas las brechas con riesgo. Ese plazo es incompatible con la improvisación. Sin un procedimiento, se pierden horas decidiendo quién manda, cómo se valora el riesgo y qué se comunica. El resultado es notificación tardía, la misma que agravó la sanción de Air Europa (600.000 EUR) por una brecha de datos de tarjetas.
Este procedimiento se apoya en el marco que explico en la guía sobre cómo notificar una brecha a la AEPD en 72 horas y en el concepto general de brecha de seguridad RGPD, y se complementa con el registro de brechas del art. 33.5.
Las cinco fases del procedimiento
Fase 1: Detección y notificación interna
Cualquier empleado que detecte un posible incidente (correo sospechoso, pérdida de un dispositivo, acceso no autorizado, ransomware) lo comunica de inmediato al punto de contacto designado. Un canal claro (correo o formulario interno) reduce el tiempo hasta el conocimiento formal.
Fase 2: Contención y valoración inicial
El equipo técnico contiene la brecha (aísla sistemas, revoca accesos, restaura desde copia) y reúne los primeros datos: qué ha pasado, qué datos, cuántos afectados aproximados, si sigue activa. Aquí arranca formalmente el conocimiento y, con él, el plazo de 72 horas.
Fase 3: Evaluación del riesgo
El DPO o el responsable evalúan el riesgo para los derechos de las personas con la metodología de la Guía de gestión de brechas de la AEPD. Factores: tipo de datos (¿categorías especiales?), volumen, facilidad de identificación, consecuencias probables y colectivos vulnerables. La seudonimización o el cifrado de los datos afectados reducen el riesgo.
El resultado determina la decisión:
| Nivel de riesgo | Acción |
|---|---|
| Improbable | Documentar en el registro; no notificar |
| Riesgo | Notificar a la AEPD en 72 h |
| Riesgo alto | Notificar a la AEPD + comunicar a los afectados (art. 34) |
Fase 4: Notificación y comunicación
Si procede, se notifica a la AEPD por la Sede Electrónica dentro de las 72 horas (con notificación por fases si falta información) y, si el riesgo es alto, se comunica a los afectados en lenguaje claro, con el punto de contacto y las recomendaciones.
Fase 5: Registro y lecciones aprendidas
Se documenta todo en el registro de brechas y se revisan las medidas de seguridad para evitar la repetición. Esta revisión conecta con la auditoría RGPD y con el registro de actividades de tratamiento.
Roles y responsabilidades
Un procedimiento sin nombres no funciona. Asigna, como mínimo:
- Punto de contacto / coordinador de la brecha: recibe el aviso y activa el procedimiento.
- Equipo técnico / TI: contiene y aporta datos forenses.
- DPO: evalúa el riesgo y redacta la notificación; es el enlace con la AEPD. Si tu organización debe tener DPO se analiza en cuándo es obligatorio el DPO en España.
- Dirección: decide y asume la comunicación externa.
- Comunicación / atención al cliente: gestiona la comunicación a los afectados.
Cronograma de las primeras 72 horas
| Momento | Acción |
|---|---|
| Hora 0 | Detección y aviso al punto de contacto |
| 0-4 h | Contención y valoración inicial |
| 4-24 h | Reunión del equipo, evaluación del riesgo |
| 24-48 h | Decisión de notificar; preparación de la notificación |
| 48-72 h | Notificación a la AEPD (o por fases) |
| Tras 72 h | Comunicación a afectados si riesgo alto; registro y lecciones |
Qué debe incluir el procedimiento por escrito
Un procedimiento de brechas útil cabe en pocas páginas, pero debe fijar por escrito los siguientes elementos para que cualquier persona pueda activarlo bajo presión:
- Ámbito y definiciones: qué se considera brecha (con ejemplos concretos: ransomware, correo mal enviado, dispositivo perdido, acceso indebido).
- Canal de aviso interno: a quién y cómo se comunica un incidente, disponible fuera del horario de oficina.
- Matriz de roles: quién contiene, quién evalúa el riesgo, quién decide notificar, quién comunica.
- Criterios de evaluación del riesgo: la metodología de la Guía de la AEPD, con umbrales orientativos.
- Plantillas listas: borrador de notificación a la AEPD y modelo de comunicación a afectados.
- Cronograma de 72 horas con hitos.
- Registro y revisión posterior: cómo se documenta y cómo se aprende del incidente.
El documento debe estar accesible y conocido: un procedimiento perfecto guardado en una carpeta que nadie encuentra a las 22:00 de un viernes no sirve de nada. Conviene difundirlo en la formación interna y enlazarlo con la política de seguridad y con el registro de actividades de tratamiento.
Errores que agravan la sanción
- Empezar tarde el reloj o esperar al informe forense completo.
- No documentar las brechas no notificadas.
- No tener roles asignados, con la consiguiente parálisis.
- No comunicar a los afectados cuando el riesgo es alto.
Estos errores figuran entre los agravantes que valora la AEPD, cuya función se explica en la guía de la AEPD como autoridad de control; la cuantía de las sanciones aparece en el panorama de sanciones RGPD.
Tener el procedimiento redactado, los roles asignados y las plantillas listas es la diferencia entre una respuesta en horas y una notificación tardía. Plataformas como Legiscope permiten desplegar el flujo de brecha con cronómetro y plantillas de notificación.
FAQ
¿Es obligatorio tener un procedimiento de brechas por escrito?
El RGPD no exige literalmente un documento con ese nombre, pero el principio de responsabilidad proactiva (art. 5.2) y la obligación de notificar en 72 horas hacen que, en la práctica, sea imprescindible. La AEPD valora positivamente disponer de un procedimiento probado.
¿Quién debe evaluar el riesgo de una brecha?
El DPO, si existe, o la persona responsable de protección de datos, con apoyo del equipo técnico. La evaluación sigue la metodología de la Guía de gestión de brechas de la AEPD y determina si hay que notificar y si el riesgo es alto para los afectados.
¿Qué hago si en 72 horas no tengo toda la información?
Notificar por fases (art. 33.4): comunicas a la AEPD lo que sabes dentro del plazo y completas la información después. Es preferible una notificación inicial incompleta y a tiempo que una completa pero tardía.
¿Debo simular brechas para probar el procedimiento?
Es muy recomendable. Un simulacro periódico revela cuellos de botella (avisos que no llegan, roles sin cubrir) antes de un incidente real y reduce el tiempo de respuesta cuando ocurre de verdad.
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), arts. 33 y 34, Agencia Española de Protección de Datos — guía de brechas y Comité Europeo de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial