Protección de Datos

Notificar una brecha de seguridad a la AEPD en 72 h

Cómo notificar una brecha de seguridad a la AEPD en 72 horas: test de riesgo, qué incluir en la notificación y comunicación a los afectados (art. 34 RGPD).

También disponible en:English·Français·Deutsch·Italiano

En una frase. Ante una brecha de seguridad que suponga un riesgo para los derechos de las personas, el responsable debe notificarla a la AEPD sin dilación indebida y, a más tardar, en 72 horas desde que tiene conocimiento (art. 33 RGPD), a través de la Sede Electrónica; si el riesgo es alto, además debe comunicarla a los afectados (art. 34).

El plazo de 72 horas es la parte que todo el mundo recuerda y casi nadie cronometra bien. Empieza a contar desde el conocimiento de la brecha, no desde que termina la investigación. Air Europa lo aprendió: la AEPD la sancionó con 600.000 EUR (procedimiento PS/00179/2020) en parte por notificar tarde una brecha que afectó a datos de tarjetas.

Puntos clave

  • El plazo de 72 horas corre desde que el responsable tiene conocimiento de la brecha, no desde su detección técnica completa.
  • Solo se notifica si la brecha entraña riesgo para los derechos y libertades; si es improbable, se documenta pero no se notifica.
  • La notificación se hace en la Sede Electrónica de la AEPD (herramienta Comunica-Brecha RGPD).
  • Si el riesgo es alto, hay que comunicarlo también a los afectados sin dilación indebida (art. 34).
  • Toda brecha —se notifique o no— debe quedar en el registro interno de brechas del art. 33.5.

Qué es una brecha notificable

El art. 4(12) RGPD define la violación de seguridad como toda destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. Hay tres tipos: de confidencialidad (acceso no autorizado), de integridad (alteración) y de disponibilidad (pérdida de acceso, por ejemplo un ransomware).

No toda brecha se notifica. La obligación del art. 33 nace solo si la brecha entraña un riesgo para los derechos de las personas. Para decidirlo, la AEPD ofrece su Guía para la gestión y notificación de brechas y la herramienta de autoevaluación Comunica-Brecha RGPD, que ayudan a valorar la gravedad.

El test de riesgo paso a paso

La evaluación del riesgo determina las tres decisiones posibles. Los factores a ponderar (según ENISA y la Guía de la AEPD):

Factor Ejemplos que agravan
Tipo de datos Categorías especiales, datos financieros, credenciales
Volumen Miles de afectados vs. un registro
Facilidad de identificación Datos en claro vs. seudonimizados
Consecuencias Fraude, suplantación, daño reputacional
Colectivos vulnerables Menores, pacientes

El resultado te lleva a una de tres vías:

  1. Riesgo improbable → no notificas, pero documentas la brecha y la decisión.
  2. Riesgo para los derechos → notificas a la AEPD en 72 horas.
  3. Riesgo alto → notificas a la AEPD y comunicas a los afectados (art. 34).

Si los datos afectados estaban cifrados o seudonimizados con la clave a salvo, el riesgo baja; conviene revisar el papel de la seudonimización frente a la anonimización en esta valoración.

Cómo notificar en la Sede Electrónica de la AEPD

El procedimiento práctico:

  1. Accede a la Sede Electrónica de la AEPD y localiza el formulario de “Brechas de seguridad”.
  2. Identifícate con certificado electrónico o Cl@ve.
  3. Describe la brecha: naturaleza, categorías y número aproximado de afectados y de registros (art. 33.3).
  4. Aporta los datos del DPO o punto de contacto.
  5. Explica las consecuencias probables y las medidas adoptadas o propuestas.
  6. Envía dentro de las 72 horas.

Si en 72 horas no tienes toda la información, el art. 33.4 permite una notificación por fases: notificas lo que sabes y completas después. Es preferible una notificación inicial incompleta a una tardía. Justifica cualquier retraso más allá de las 72 horas.

Comunicación a los afectados (art. 34)

Cuando la brecha entraña un riesgo alto, además de notificar a la AEPD debes comunicarla a los interesados sin dilación indebida, en lenguaje claro, indicando:

  • La naturaleza de la brecha.
  • El punto de contacto (DPO).
  • Las consecuencias probables.
  • Las medidas adoptadas y las recomendaciones (por ejemplo, cambiar contraseñas).

Hay excepciones (art. 34.3): si los datos estaban cifrados, si has adoptado medidas que eliminan el riesgo alto, o si la comunicación individual exige un esfuerzo desproporcionado (en cuyo caso cabe una comunicación pública).

Qué información debe contener la notificación

El art. 33.3 fija el contenido mínimo de la notificación a la AEPD. Aunque no dispongas de todo desde el primer momento, debes cubrir estos cuatro bloques:

  1. Naturaleza de la brecha: descripción del incidente y, en la medida de lo posible, las categorías y el número aproximado de interesados y de registros afectados.
  2. Datos de contacto: nombre y datos del DPO o punto de contacto donde ampliar información.
  3. Consecuencias probables: qué daños podrían sufrir los afectados (fraude, suplantación, pérdida de confidencialidad).
  4. Medidas adoptadas o propuestas: contención, mitigación y medidas para evitar la repetición.

La clave está en no confundir “no tengo todos los datos” con “no notifico”. El art. 33.4 permite completar por fases: una primera notificación con lo esencial dentro de las 72 horas y ampliaciones posteriores a medida que avanza la investigación. La AEPD valora más una notificación inicial honesta e incompleta que un silencio prolongado mientras se “cierra” el análisis forense.

Errores que agravan la sanción

  • Empezar a contar tarde las 72 horas o esperar a cerrar la investigación.
  • No documentar las brechas que se decide no notificar (incumple el art. 33.5).
  • No comunicar a los afectados cuando el riesgo es alto.
  • No tener un procedimiento interno previo: la improvisación se nota. Conviene disponer de un modelo de procedimiento ante brechas y un registro de brechas listos.

El caso Air Europa (600.000 EUR) combinó medidas de seguridad insuficientes con notificación tardía. Otros casos y su cuantía aparecen en el panorama de sanciones RGPD, y el papel de la autoridad se explica en la guía de la AEPD como autoridad de control.

Tener el DPO o el equipo listos para valorar el riesgo, redactar la notificación y avisar a los afectados dentro del plazo es un ejercicio de reloj. Plataformas como Legiscope permiten disparar el flujo de brecha con plantillas y cronómetro de las 72 horas.

FAQ

¿Desde cuándo se cuentan las 72 horas?

Desde que el responsable tiene conocimiento de la brecha con un grado razonable de certeza de que ha ocurrido, no desde la primera alerta técnica ni desde el cierre de la investigación. Si un encargado sufre la brecha, el plazo del responsable empieza cuando el encargado se lo comunica.

¿Tengo que notificar siempre una brecha a la AEPD?

No. Solo si la brecha entraña un riesgo para los derechos y libertades de las personas. Si ese riesgo es improbable, no se notifica, pero debes documentarla en el registro interno del art. 33.5 con la justificación de por qué no notificaste.

¿Qué pasa si notifico fuera de las 72 horas?

Puedes hacerlo, pero debes acompañar la notificación de los motivos de la dilación (art. 33.1). La notificación tardía injustificada es un factor agravante que la AEPD valora al graduar la sanción, como ocurrió en el caso Air Europa.

¿Cuándo debo avisar a los afectados?

Cuando la brecha suponga un riesgo alto para sus derechos (art. 34). Debes hacerlo sin dilación indebida y en lenguaje claro. Hay excepciones si los datos estaban cifrados o si has neutralizado el riesgo con medidas posteriores.


Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), arts. 33 y 34, Agencia Española de Protección de Datos — brechas de seguridad y Comité Europeo de Protección de Datos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →