Una brecha de seguridad obliga a actuar rápido: si afecta a datos personales, la empresa tiene que valorar el riesgo y, cuando proceda, notificar a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Reaccionar tarde o no documentar la decisión es lo que convierte un incidente en una sanción.
Lo esencial
- Qué es: una brecha de seguridad es toda violación que provoca la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales (artículo 4.12 del RGPD).
- Plazo clave: notificar a la autoridad de control (la AEPD en España) en un máximo de 72 horas desde que se tiene constancia, cuando la brecha supone un riesgo para los derechos de las personas.
- A los afectados: hay que comunicárselo sin dilación indebida cuando la brecha entraña un alto riesgo para ellos.
- Siempre: toda brecha se documenta en un registro interno, aunque no se notifique.
- Sanciones: incumplir las obligaciones de notificación puede acarrear multas de hasta 10 millones de euros o el 2% de la facturación anual mundial.
¿Qué es una brecha de seguridad?
Una brecha de seguridad de datos personales es una violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o el acceso no autorizados a esos datos. Es la definición literal del artículo 4.12 del Reglamento General de Protección de Datos (RGPD), el Reglamento (UE) 2016/679.
Conviene distinguir el concepto del lenguaje coloquial. No toda incidencia informática es una brecha en sentido legal, solo lo es cuando hay datos personales implicados. Y a la inversa, una brecha no requiere un ataque sofisticado: un correo enviado a destinatarios equivocados, un portátil perdido sin cifrar o un documento accesible por error en una web son brechas a todos los efectos.
¿Qué tipos de brechas de seguridad existen?
Las brechas se clasifican según la dimensión de seguridad afectada: confidencialidad, integridad o disponibilidad. Una misma incidencia puede afectar a varias a la vez.
| Tipo de brecha | Qué ocurre | Ejemplo |
|---|---|---|
| Confidencialidad | Acceso o divulgación no autorizada de datos | Envío de una base de clientes a un tercero por error |
| Integridad | Alteración no autorizada de los datos | Modificación de registros tras un acceso ilícito |
| Disponibilidad | Pérdida de acceso o destrucción de los datos | Cifrado por ransomware o borrado accidental sin copia |
Identificar el tipo no es un ejercicio teórico. Orienta tanto la valoración del riesgo como las medidas de contención, porque no se gestiona igual una fuga de datos confidenciales que una pérdida de disponibilidad por ransomware.
¿Cuándo hay que notificar una brecha a la AEPD?
Hay que notificar a la Agencia Española de Protección de Datos cuando la brecha supone un riesgo para los derechos y libertades de las personas físicas, y hacerlo en un plazo máximo de 72 horas desde que se tiene constancia de ella. Lo establece el artículo 33 del RGPD.
La obligación tiene matices que conviene tener claros. Si tras valorar el riesgo se concluye que la brecha es improbable que entrañe un riesgo, no es necesario notificar a la autoridad, pero la decisión debe quedar documentada. Si se notifica pasadas las 72 horas, hay que acompañar la notificación de los motivos de la demora. Y cuando no es posible facilitar toda la información de golpe, el RGPD permite una notificación por fases.
Por ejemplo: una empresa detecta el lunes a las 9:00 que un atacante ha accedido a una base de datos con información de clientes. El plazo de 72 horas empieza a contar en ese momento de constancia, no cuando termina la investigación. Por eso la valoración del riesgo debe ser ágil.
¿Cuándo hay que avisar a las personas afectadas?
Además de notificar a la AEPD, hay que comunicar la brecha a las personas afectadas, sin dilación indebida, cuando es probable que entrañe un alto riesgo para sus derechos y libertades. Así lo exige el artículo 34 del RGPD.
La comunicación al interesado debe describir con un lenguaje claro la naturaleza de la brecha, las posibles consecuencias y las medidas adoptadas o propuestas, e incluir un punto de contacto. Existen excepciones: no es obligatoria si los datos estaban cifrados o protegidos de forma que resulten ininteligibles para terceros, si se han tomado medidas posteriores que eliminan el alto riesgo, o si avisar individualmente supondría un esfuerzo desproporcionado, caso en el que cabe una comunicación pública equivalente.
¿Cómo actuar ante una brecha de seguridad paso a paso?
La gestión de una brecha sigue una secuencia clara que va de la detección a la documentación. Tenerla definida por anticipado, dentro de un sistema de gestión de incidentes de protección de datos (SGIP), es lo que permite cumplir el plazo de 72 horas sin improvisar.
- Detectar y contener. Identifica el incidente, limita su alcance y preserva las evidencias para el análisis posterior.
- Analizar y clasificar. Determina qué datos y cuántas personas se han visto afectados y a qué dimensión de seguridad afecta la brecha.
- Valorar el riesgo. Evalúa la probabilidad y la gravedad del impacto sobre los derechos de las personas para decidir si hay que notificar.
- Notificar si procede. A la AEPD en 72 horas cuando hay riesgo; a los afectados sin dilación cuando el riesgo es alto.
- Documentar y aprender. Inscribe la brecha en el registro interno, ejecuta las medidas correctoras y revisa los controles para que no se repita.
El quinto paso no es opcional ni un trámite menor. El artículo 33.5 del RGPD obliga a documentar cualquier brecha de seguridad, incluidos los hechos relacionados con ella, sus efectos y las medidas correctoras adoptadas, con independencia de que se haya notificado o no a la autoridad. Ese registro de brechas cumple una doble función: permite a la AEPD verificar el cumplimiento si lo solicita y, sobre todo, demuestra el principio de responsabilidad proactiva que vertebra todo el reglamento. Una empresa que registra de forma ordenada sus incidentes, con las fechas, la valoración de riesgo y la justificación de cada decisión, llega a una eventual inspección con su diligencia ya acreditada. Una que no lo hace parte de una posición mucho más débil, aunque la brecha en sí haya sido menor.
¿Qué herramientas ofrece la AEPD para gestionar brechas?
La Agencia Española de Protección de Datos pone a disposición de las empresas herramientas gratuitas para valorar y notificar las brechas. Las dos de referencia son Asesora Brecha RGPD y Comunica-Brecha RGPD.
Asesora Brecha RGPD ayuda al responsable a valorar el riesgo de la brecha y a decidir si debe notificarla a la autoridad y comunicarla a los afectados. Comunica-Brecha RGPD orienta sobre la comunicación a las personas afectadas. La notificación formal a la AEPD se presenta a través de su Sede electrónica. Apoyarse en estas herramientas, además de en la Guía para la gestión y notificación de brechas de seguridad de la propia Agencia, refuerza la diligencia que el RGPD exige acreditar. Centralizar la gestión en una plataforma de compliance y protección de datos ayuda a dejar trazabilidad de cada decisión.
¿Qué sanciones conlleva no notificar una brecha?
No cumplir las obligaciones de notificación de los artículos 33 y 34 del RGPD se encuadra entre las infracciones sancionables con multa de hasta 10 millones de euros o, si la cifra es superior, el 2% del volumen de negocio total anual mundial del ejercicio anterior. Lo fija el artículo 83.4 del RGPD.
El importe no es automático ni siempre máximo: la autoridad gradúa la sanción según la gravedad, la duración, el carácter intencionado o negligente, las medidas adoptadas para mitigar el daño y el grado de cooperación. Acreditar un marco de seguridad sólido, como la ISO 27001 o el Esquema Nacional de Seguridad cuando aplica, es una prueba de diligencia que la AEPD valora. Por eso documentar bien la gestión de la brecha, aunque se concluya que no procede notificarla, es la mejor defensa frente a una eventual inspección.
Preguntas frecuentes sobre brechas de seguridad
¿Cuál es el plazo para notificar una brecha de seguridad?
El plazo es de 72 horas como máximo desde que el responsable tiene constancia de la brecha, según el artículo 33 del RGPD. Si se notifica más tarde, hay que justificar la demora ante la autoridad de control.
¿Hay que notificar siempre todas las brechas?
No. Solo hay que notificar a la AEPD las brechas que supongan un riesgo para los derechos y libertades de las personas. Las que no lo entrañen no se notifican, pero todas, sin excepción, deben quedar inscritas en el registro interno de brechas.
¿Qué pasa si la brecha afecta a datos cifrados?
Si los datos estaban cifrados o protegidos de forma que resulten ininteligibles para cualquier persona no autorizada, la comunicación a los afectados deja de ser obligatoria, porque el alto riesgo para ellos desaparece. La valoración del riesgo y el registro de la brecha siguen siendo necesarios.
¿Quién es responsable de notificar la brecha?
La obligación recae en el responsable del tratamiento. Cuando la brecha la detecta un encargado del tratamiento, este debe informar al responsable sin dilación indebida, y es el responsable quien notifica a la AEPD y, en su caso, a los afectados.
¿En qué se diferencia una brecha RGPD de un incidente NIS2?
Una brecha RGPD afecta a datos personales y se notifica a la AEPD. Un incidente relevante bajo la normativa de ciberseguridad NIS2 afecta a la continuidad de servicios esenciales o digitales y se notifica al CSIRT de referencia. Un mismo ataque puede generar ambas obligaciones a la vez, por lo que conviene tener identificadas las dos vías.
Conclusión
Ante una brecha de seguridad, la diferencia entre un susto y una sanción está en la preparación. Tener definido el procedimiento, saber valorar el riesgo con agilidad y conocer los plazos de los artículos 33 y 34 del RGPD permite reaccionar dentro de las 72 horas y, sobre todo, demostrar diligencia. La protección de datos no se mide solo por evitar incidentes, que nunca son del todo evitables, sino por cómo se gestionan cuando ocurren.
Fuentes: Reglamento (UE) 2016/679 (RGPD), artículos 4.12, 33, 34 y 83.4; Ley Orgánica 3/2018 (LOPDGDD); Agencia Española de Protección de Datos (Guía y herramientas Asesora Brecha y Comunica-Brecha RGPD). Datos de keyword verificados con DataForSEO (España, 2026-06-22).
Última actualización: 22 de junio de 2026.
