En una frase. El art. 33.5 RGPD obliga a documentar todas las brechas de seguridad —también las que no se notifican a la AEPD— en un registro interno con los hechos, sus efectos y las medidas adoptadas; es la prueba que la autoridad revisa en inspección para verificar la responsabilidad proactiva.
Mucha gente confunde el registro de brechas con la notificación. Son cosas distintas: la notificación es un acto puntual hacia la AEPD cuando hay riesgo; el registro es un documento interno donde entra toda brecha, se notifique o no. No tenerlo es incumplir el art. 33.5, aunque nunca hayas sufrido una brecha notificable.
Puntos clave
- El art. 33.5 exige documentar todas las brechas, incluidas las de riesgo improbable no notificadas.
- El registro debe recoger los hechos, los efectos y las medidas correctoras de cada incidente.
- Es distinto de la notificación a la AEPD y de la comunicación a los afectados.
- La AEPD lo usa en inspecciones para verificar la responsabilidad proactiva (art. 5.2).
- Un registro vacío tras años de actividad resulta poco creíble y suele indicar que no se detectan las brechas.
Registro frente a notificación: no son lo mismo
Conviene separar tres conceptos que a menudo se mezclan:
| Concepto | Qué es | Cuándo |
|---|---|---|
| Registro de brechas (art. 33.5) | Documento interno con todas las brechas | Siempre, para cada incidente |
| Notificación a la AEPD (art. 33.1) | Comunicación a la autoridad | Solo si hay riesgo |
| Comunicación a afectados (art. 34) | Aviso a las personas | Solo si el riesgo es alto |
Es decir: una brecha de riesgo improbable no se notifica, pero sí se registra. Todo el flujo de decisión —cuándo notificar, cuándo comunicar— lo detallo en la guía sobre cómo notificar una brecha a la AEPD, y el proceso interno completo, en el modelo de procedimiento ante brechas.
Qué exige el art. 33.5
El precepto es breve pero contundente: el responsable “documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas”. Esa documentación debe permitir a la autoridad de control verificar el cumplimiento del art. 33. En otras palabras: el registro no es para ti, es la prueba que enseñas a la AEPD.
Por eso debe incluir también la justificación de las brechas no notificadas: por qué evaluaste que el riesgo era improbable. Sin esa motivación, la decisión de no notificar queda sin respaldo.
Modelo de registro campo a campo
Una fila por brecha. Campos recomendados (que cubren y superan el mínimo del art. 33.5):
| Campo | Contenido |
|---|---|
| ID de la brecha | Referencia única |
| Fecha del incidente | Cuándo ocurrió |
| Fecha de conocimiento | Cuándo se supo (inicio del plazo de 72 h) |
| Descripción de los hechos | Qué pasó y cómo |
| Tipo de brecha | Confidencialidad / integridad / disponibilidad |
| Categorías de datos afectados | Identificativos, económicos, salud… (marcar art. 9) |
| Nº aproximado de afectados | Volumen |
| Causa | Error humano, ciberataque, pérdida de dispositivo… |
| Evaluación del riesgo | Improbable / riesgo / riesgo alto + motivación |
| ¿Notificada a la AEPD? | Sí / No + fecha y motivo |
| ¿Comunicada a afectados? | Sí / No + fecha |
| Medidas correctoras | Contención y prevención de la repetición |
| Responsable del registro | Quién documenta |
Los campos de datos afectados deben coincidir con lo declarado en tu registro de actividades de tratamiento.
Ejemplos de entradas
Entrada 1 — Correo con destinatarios en copia visible:
- Hechos: envío de un boletín con 300 direcciones en el campo “Para” en vez de “CCO”.
- Tipo: confidencialidad. Datos: correos electrónicos.
- Riesgo: improbable (datos de contacto, sin categorías especiales). Motivación documentada.
- Notificada: No. Comunicada: No.
- Medidas: recordatorio de uso de CCO, plantilla de envío masivo con CCO por defecto.
Entrada 2 — Portátil robado sin cifrar:
- Hechos: sustracción de un portátil de un comercial con base de clientes local.
- Tipo: confidencialidad. Datos: identificativos y económicos de clientes.
- Riesgo: alto (datos no cifrados, posibilidad de fraude). Motivación documentada.
- Notificada: Sí (fecha). Comunicada a afectados: Sí (fecha).
- Medidas: cifrado obligatorio de discos, bloqueo remoto.
Nótese cómo el cifrado habría reducido el riesgo de la segunda entrada; el papel de la seudonimización y el cifrado en la evaluación es decisivo.
Qué brechas se olvidan de registrar
La mayoría de organizaciones registra bien el ciberataque grave, pero olvida los incidentes “menores” que son, de lejos, los más frecuentes. Estos son los que suelen quedar fuera del registro y no deberían:
- Correos mal dirigidos: envío de datos a un destinatario equivocado o con direcciones en copia visible (el “CCO olvidado”).
- Documentación en papel: expedientes olvidados en una impresora compartida, recetas o nóminas tiradas sin destruir.
- Errores de configuración: una carpeta compartida abierta de más, un enlace público a un documento con datos.
- Accesos indebidos internos: un empleado que consulta datos que no le corresponden por curiosidad.
- Pérdida de dispositivos: un USB, un móvil o un portátil extraviado.
Ninguno de estos incidentes suele exigir notificación a la AEPD, pero todos deben registrarse con su evaluación de riesgo. Precisamente porque son cotidianos, un registro que solo contiene ciberataques resulta incompleto y transmite a la autoridad la impresión de que la organización no detecta la mayor parte de sus incidentes. Documentarlos, aunque el riesgo sea improbable, es la prueba viva de que el sistema de detección funciona.
Cómo lo usa la AEPD en inspección
En una inspección, la AEPD pide el registro de brechas para comprobar dos cosas: que detectas las brechas y que decides bien cuándo notificar. Un registro con entradas motivadas demuestra responsabilidad proactiva y juega como atenuante. Un registro inexistente o vacío tras años de actividad sugiere que las brechas no se detectan o no se documentan, lo que agrava la posición del responsable.
El papel de la autoridad y el valor probatorio de esta documentación se explican en la guía de la AEPD como autoridad de control; la cuantía de las sanciones relacionadas, en el panorama de sanciones RGPD. Revisar y actualizar el registro debería formar parte de tu auditoría RGPD periódica.
Mantener un registro coherente, con cada brecha vinculada a su evaluación de riesgo y a sus medidas, es tedioso si se lleva a mano. Plataformas como Legiscope permiten registrar cada incidente con su motivación y generar el histórico que pide la autoridad.
FAQ
¿Tengo que registrar también las brechas que no notifico?
Sí. El art. 33.5 obliga a documentar todas las brechas, incluidas las de riesgo improbable que no se notifican. En esos casos debes recoger, además, la motivación de por qué evaluaste que no había riesgo suficiente para notificar.
¿En qué se diferencia el registro de la notificación?
La notificación es un acto puntual hacia la AEPD cuando la brecha entraña riesgo. El registro es un documento interno permanente donde entra toda brecha, se notifique o no. Puedes tener muchas entradas en el registro y solo algunas notificaciones.
¿Durante cuánto tiempo conservo el registro de brechas?
El RGPD no fija un plazo concreto, pero debe conservarse el tiempo necesario para acreditar el cumplimiento ante la AEPD. En la práctica se recomienda mantenerlo durante el periodo en que la autoridad puede exigir responsabilidades, en línea con los plazos de prescripción de las infracciones.
¿Un registro vacío es un problema?
Puede serlo. Ninguna organización con actividad real está libre de pequeñas brechas (correos mal enviados, accesos indebidos). Un registro vacío tras años suele indicar que no se detectan o no se documentan, lo que la AEPD interpreta como falta de responsabilidad proactiva.
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 33.5, Agencia Española de Protección de Datos — brechas de seguridad y Comité Europeo de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial