Cómo gestionar una violación de datos RGPD siendo una empresa en España: La regla de las 72 horas explicada

Una hoja de cálculo con datos de clientes se envía por correo electrónico al destinatario equivocado. Un portátil con registros de empleados desaparece. Una carpeta en la nube con facturas queda accesible al público de forma accidental. Una alerta de ransomware aparece en la pantalla el viernes a las 16:30.

El primer impulso es llamar al departamento de informática. Sin embargo, en el momento en que la empresa tiene conocimiento de que los datos personales pueden haber quedado comprometidos, ya no se trata de un incidente técnico. Es posible que ya se encuentre dentro de un plazo legal.

Para las empresas que operan en España, las preguntas urgentes no son únicamente «¿qué ha ocurrido?» y «¿cómo lo solucionamos?». La cuestión clave es: ¿Se han visto afectados datos personales? ¿Ha comenzado el plazo de 72 horas? ¿Debemos notificar a la AEPD?

Esta guía explica qué constituye una violación de datos personales conforme al RGPD, cuándo se aplica la regla de las 72 horas, qué información debe comunicarse a la AEPD, cuándo deben ser informados los afectados y qué documentar incluso cuando la notificación formal no sea obligatoria. Para un contexto más amplio sobre sus obligaciones como empresa, consulte nuestra guía sobre cumplimiento del RGPD de la UE para empresas.

Una violación de datos RGPD puede comenzar con algo cotidiano

La mayoría de las personas imaginan una violación de datos como un ciberataque espectacular: piratas informáticos, bases de datos robadas, noticias de última hora. La realidad es mucho más mundana, y precisamente por eso resulta tan fácil pasarla por alto.

Una violación de datos personales conforme al RGPD comienza en el momento en que los datos personales se pierden, exponen, alteran, destruyen, se accede a ellos sin autorización o dejan de estar disponibles, incluso si no interviene ningún agente delictivo y ningún dato ha sido publicado en línea.

Ejemplos habituales que activan las obligaciones de notificación del RGPD:

• Un correo electrónico con una lista de clientes enviado al destinatario equivocado
• Un portátil o dispositivo móvil de trabajo perdido o robado
• Una carpeta compartida en la nube accidentalmente configurada como pública
• Un ataque de ransomware que bloquea el acceso a registros de empleados o clientes
• La eliminación accidental de archivos sin copia de seguridad
• Un empleado que accede a registros sin estar autorizado para ello
• Un proveedor o encargado del tratamiento que le notifica que sus sistemas —que albergan datos suyos— han sido vulnerados

La cuestión no es si la violación parece grave a primera vista. La cuestión es si los datos personales han resultado afectados.

¿Qué constituye una violación de datos personales conforme al RGPD?

Con arreglo al artículo 4, apartado 12, del RGPD, una violación de la seguridad de los datos personales se define como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En términos prácticos, una violación no se limita a un ataque informático o una fuga de información. Comprende cualquier situación en la que los datos personales queden comprometidos, incluidos errores internos, fallos del sistema e incidentes con proveedores.

Los datos personales incluyen nombres, direcciones de correo electrónico, números de teléfono, números de identificación nacional, domicilios, registros de empleados y clientes, datos de salud, información financiera, credenciales de acceso y cualquier otro dato que permita identificar a una persona física.

Violaciones de confidencialidad

Una violación de confidencialidad se produce cuando datos personales son revelados o consultados por personas no autorizadas. Ejemplos: un expediente de cliente enviado por error a un tercero, un empleado que consulta registros fuera de su ámbito de autorización, una base de datos expuesta en internet o un dispositivo robado con datos personales legibles.

Violaciones de integridad

Una violación de integridad se produce cuando los datos personales son modificados, corrompidos o alterados sin autorización. Puede manifestarse como registros de nóminas incorrectamente modificados, datos de cuentas de clientes alterados por un atacante o ficheros de empleados dañados por un error del sistema.

Violaciones de disponibilidad

Una violación de disponibilidad se produce cuando los datos personales dejan de estar accesibles, se pierden o se destruyen. El ransomware que bloquea el acceso a registros de clientes, la eliminación de datos sin copia de seguridad o una interrupción del sistema que impide acceder a expedientes esenciales son ejemplos claros.

Un ataque de ransomware puede constituir una violación del RGPD aunque ningún dato sea publicado públicamente, puesto que la disponibilidad de los datos personales ha quedado comprometida.

Violación de datos frente a fuga de información: ¿cuál es la diferencia?

Estos dos conceptos se utilizan con frecuencia de forma indistinta, pero en el marco del RGPD tienen significados distintos, y la diferencia resulta relevante.

Una fuga de información hace referencia generalmente a la exposición, divulgación o acceso no autorizado a datos personales, normalmente a causa de una vulnerabilidad técnica o un error humano.

Una violación de datos personales conforme al RGPD es un concepto más amplio. Abarca las fugas, pero también la pérdida, la destrucción, la alteración, el acceso no autorizado y la indisponibilidad de los datos personales.

Toda fuga de información que afecte a datos personales puede constituir una violación del RGPD, pero no toda violación del RGPD implica una fuga pública de datos.

Un archivo eliminado por error sin copia de seguridad es una violación. Un portátil extraviado con datos cifrados también puede requerir evaluación. Ninguno de estos casos implica una exposición pública, pero ambos pueden derivar en obligaciones conforme al RGPD.

La regla de las 72 horas: cuándo deben notificar las empresas españolas a la AEPD

Con arreglo al artículo 33 del RGPD, el responsable del tratamiento debe notificar a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de haber tenido constancia de la violación, salvo que sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas.

Para las empresas establecidas en España, la autoridad de control competente es la AEPD — Agencia Española de Protección de Datos.

La regla de las 72 horas no implica que todo incidente técnico deba notificarse. Significa que toda violación de datos personales debe evaluarse con rapidez para determinar si la notificación es obligatoria.

Cuándo comienza el plazo de 72 horas

Este es el punto que más sorprende a las empresas: el plazo no se inicia en el momento en que se produce el ataque o el incidente, sino en el momento en que la empresa tiene conocimiento de que ha ocurrido un incidente de seguridad y de que los datos personales probablemente se han visto afectados.

Si el departamento de tecnología recibe una alerta difusa sobre actividad inusual en el sistema, un breve período de verificación es razonable. No obstante, en cuanto la empresa tenga certeza razonable de que se ha accedido, divulgado, perdido, alterado o hecho inaccesible datos personales, el plazo de 72 horas ha comenzado.

Qué significa «momentar en que se tuvo constancia» en la práctica

Las Directrices 9/2022 del Comité Europeo de Protección de Datos (CEPD) sobre notificación de violaciones de datos personales aclaran que se considera que existe constancia cuando el responsable tiene un grado razonable de certeza de que se ha producido un incidente de seguridad y de que los datos personales han quedado comprometidos.

En la práctica, se considera que la empresa ha tenido constancia cuando:

• Se ha confirmado que un correo electrónico fue enviado a un destinatario no autorizado
• Se ha verificado que el dispositivo extraviado contenía datos personales
• Se ha constatado que una carpeta en la nube expuesta incluía registros de clientes o empleados
• El ransomware ha bloqueado el acceso a sistemas que contienen datos personales
• Un proveedor confirma que los registros tratados en su nombre han resultado afectados

Esperar a disponer de un informe forense completo no es una razón válida para ignorar el plazo de 72 horas.

¿Qué ocurre si la empresa notifica fuera de plazo?

Si transcurren las 72 horas antes de presentar la notificación, esta debe incluir una explicación clara de los motivos del retraso. La AEPD acepta esta posibilidad, pero no notificar o no justificar el retraso puede agravar significativamente la situación regulatoria.

Asimismo, las empresas pueden presentar una notificación inicial con la información disponible y complementarla con datos adicionales a medida que avanza la investigación. No es necesario disponer de todos los datos para iniciar el proceso. Para más información sobre las consecuencias de no actuar, consulte nuestra guía sobre qué ocurre si su empresa recibe una sanción RGPD en España.

¿Debe notificarse a la AEPD toda violación del RGPD?

No, pero toda violación debe evaluarse y documentarse. La obligación de notificar depende del nivel de riesgo que la violación genere para las personas cuyos datos han resultado afectados.

¿Cuándo deben ser informados los interesados afectados?

Notificar a la AEPD e informar a los interesados afectados son dos obligaciones distintas con umbrales diferentes. Es fundamental no confundirlas.

La notificación a la AEPD consiste en informar a la autoridad de control de que se ha producido una violación.

La comunicación a los interesados consiste en informar a las personas cuyos datos personales pueden haberse visto expuestos a un alto riesgo.

Con arreglo al artículo 34 del RGPD, los interesados deben ser notificados sin dilación indebida cuando sea probable que la violación entrañe un alto riesgo para sus derechos y libertades. Las situaciones de alto riesgo incluyen habitualmente:

• Exposición de datos de documentos de identidad
• Compromiso de datos bancarios o de pago
• Afectación de datos de salud
• Divulgación de credenciales de acceso
• Acceso no autorizado a datos confidenciales de recursos humanos
• Datos cuya exposición pueda generar fraude, discriminación, pérdidas económicas o daño reputacional grave

Qué debe incluir la comunicación dirigida a los interesados

Cuando la notificación a los interesados sea obligatoria, el mensaje debe ser claro, objetivo y útil desde el punto de vista práctico, evitando formulaciones vagas, defensivas o excesivamente técnicas. Debe incluir:

• Qué ha ocurrido y cuándo fue detectado
• Qué datos personales pueden haberse visto afectados
• Las posibles consecuencias para el interesado
• Las medidas que está adoptando la empresa para hacer frente a la situación
• Las medidas que el interesado puede tomar para protegerse
• Los datos de contacto del DPD o del punto de contacto de privacidad

Cuándo puede no ser necesaria la comunicación individual

El artículo 34 del RGPD establece que la comunicación individual puede no ser necesaria cuando:

• Los datos estaban cifrados o resultaban de otro modo ininteligibles para los no autorizados
• La empresa adoptó medidas posteriores que garantizan que el alto riesgo ya no es probable
• La comunicación directa requiriese un esfuerzo desproporcionado; en ese caso, podrá emplearse una comunicación pública u otras medidas equivalentes

No debe asumirse que la notificación a los clientes es innecesaria únicamente por haber notificado ya a la AEPD. El umbral de alto riesgo debe evaluarse de forma separada e independiente.

Responsable del tratamiento frente a encargado del tratamiento: ¿quién notifica a quién?

Numerosas empresas españolas recurren a proveedores y herramientas de terceros para el tratamiento de datos personales en su nombre. Comprender quién es responsable de la notificación en estas situaciones resulta indispensable.

El responsable del tratamiento es la entidad que determina los fines y los medios del tratamiento de datos personales; habitualmente, su empresa.

El encargado del tratamiento trata datos personales por cuenta del responsable: un proveedor, plataforma o prestador de servicios.

Ejemplos de encargados del tratamiento con los que puede trabajar su empresa: proveedores de CRM, servicios de alojamiento en la nube, plataformas de nóminas, herramientas de marketing por correo electrónico, plataformas de comercio electrónico, proveedores de servicios gestionados de TI, y proveedores externos de recursos humanos o contabilidad.

La regla es sencilla: el encargado del tratamiento debe notificar al responsable sin dilación indebida desde que tenga conocimiento de una violación. Es entonces el responsable —su empresa— quien decide si deben notificarse la AEPD y los interesados afectados.

Por este motivo, los contratos con los encargados del tratamiento son críticos. Sus acuerdos deben especificar con qué rapidez debe notificarle el encargado, qué información debe facilitar, quién investiga el incidente y cómo se compartirán las actualizaciones.

Para conocer cómo interactúa la normativa nacional española con las obligaciones del RGPD en materia de encargados del tratamiento, consulte nuestro artículo sobre RGPD frente a la LOPDGDD española.

Qué hacer en las primeras 72 horas tras detectar una violación

La rapidez es determinante, pero las actuaciones precipitadas no ayudan. A continuación se detallan las acciones que su empresa debe llevar a cabo hora a hora.

Primeras 0–6 horas: Contención y verificación

La prioridad inmediata es detener el daño adicional y determinar si los datos personales han sido efectivamente afectados.

• Activar el equipo de respuesta ante incidentes
• Contener la violación: revocar accesos, aislar sistemas, bloquear cuentas si es necesario
• Preservar los registros y las evidencias (no eliminar ni sobrescribir nada)
• Identificar los sistemas y datos afectados
• Informar al DPD o al responsable de privacidad designado
• Contactar con el encargado del tratamiento o proveedor si interviene un tercero

Primeras 6–24 horas: Evaluación de la violación

Ha llegado el momento de pasar de la respuesta técnica a la evaluación del riesgo conforme al RGPD.

• Clasificar la violación: confidencialidad, integridad o disponibilidad
• Identificar las categorías de datos personales afectados
• Estimar el número de interesados y registros afectados
• Identificar los colectivos afectados: clientes, empleados, pacientes, usuarios, proveedores
• Evaluar el riesgo probable para dichos interesados
• Adoptar una decisión preliminar sobre si la notificación a la AEPD es necesaria

Primeras 24–48 horas: Preparación de la notificación

No espere a disponer de información completa. Prepárese para notificar con los datos disponibles.

• Redactar la notificación a la AEPD con la información recopilada
• Indicar qué datos aún se desconocen y prever actualizaciones posteriores
• Preparar un informe interno para la dirección
• Evaluar si los interesados deben ser informados directamente
• Redactar una comunicación clara y en lenguaje sencillo para los interesados si se confirma el alto riesgo

Primeras 48–72 horas: Notificación, comunicación y documentación

Cumpla el plazo y demuestre una gestión responsable de la violación.

• Presentar la notificación a la AEPD si procede, justificando el retraso si lo hubiera
• Informar a los interesados si se confirma el alto riesgo
• Continuar la investigación y preservar las evidencias
• Registrar todas las decisiones y medidas adoptadas
• Planificar actualizaciones a la AEPD cuando se disponga de nueva información
• Iniciar las medidas correctivas para prevenir la recurrencia

Qué documentar aunque no notifique a la AEPD

Incluso cuando una violación no alcanza el umbral de notificación a la AEPD, el principio de responsabilidad proactiva del RGPD exige dejar constancia de ella. Su registro interno de violaciones debe recoger:

• Fecha y hora de detección de la violación
• Fecha y hora en que la empresa tuvo constancia del incidente
• Quién notificó el incidente en primer lugar
• Descripción de lo ocurrido
• Sistemas y categorías de datos afectados
• Número aproximado de interesados afectados
• Clasificación de la violación: confidencialidad, integridad o disponibilidad
• Evaluación del riesgo y resultado
• Decisión sobre la notificación a la AEPD y motivación
• Decisión sobre la comunicación a los interesados y motivación
• Medidas adoptadas y evidencias preservadas
• Lecciones aprendidas y medidas implantadas para prevenir la recurrencia

Si la empresa decide no notificar a la AEPD, la motivación de esa decisión debe quedar claramente documentada. Esa documentación constituye su evidencia de responsabilidad proactiva si la decisión es objeto de revisión posterior.

Errores frecuentes en la gestión de violaciones del RGPD

Error 1: Esperar a la conclusión de la investigación antes de actuar

La notificación puede realizarse por fases. No retrase la notificación inicial mientras aguarda un informe forense que puede tardar semanas en concluirse.

Error 2: Considerar que únicamente los ciberataques generan obligaciones

Los correos electrónicos enviados a destinatarios erróneos, los dispositivos extraviados, las eliminaciones accidentales y la indisponibilidad de datos pueden constituir violaciones del RGPD, con independencia de si existe intención delictiva.

Error 3: Ignorar las violaciones de disponibilidad

El ransomware que bloquea el acceso a datos personales puede activar obligaciones del RGPD aunque ningún dato llegue a publicarse. La mera denegación de acceso es suficiente.

Error 4: No documentar los incidentes no notificables

Los incidentes de bajo riesgo deben constar en el registro de violaciones. Todo incidente debe evaluarse y registrarse, incluso cuando la notificación a la AEPD no sea obligatoria.

Error 5: Permitir que los proveedores respondan con lentitud

Sus contratos con encargados del tratamiento deben establecer plazos estrictos de notificación. Un proveedor que tarda una semana en comunicarle una violación puede hacerle perder la ventana de 72 horas.

Error 6: Confundir la notificación a la AEPD con la comunicación a los clientes

Son obligaciones distintas con umbrales diferentes. Notificar a la AEPD no supone haber cumplido automáticamente con la obligación respecto a los interesados.

Error 7: Enviar comunicaciones vagas o precipitadas

Los interesados afectados necesitan información tranquilizadora, clara y útil desde el punto de vista práctico. Una notificación mal redactada puede erosionar la confianza más rápidamente que la propia violación.

Lista de verificación para la respuesta ante violaciones del RGPD en empresas españolas

Utilice esta lista como referencia inmediata cuando se detecte una posible violación:

• Confirmar si hay datos personales afectados
• Contener el incidente de inmediato y preservar las evidencias
• Informar al Delegado de Protección de Datos (DPD) o al responsable de privacidad designado
• Clasificar la violación: confidencialidad, integridad o disponibilidad
• Identificar las categorías de datos personales afectados
• Estimar el número de interesados y registros afectados
• Evaluar el nivel de riesgo para los interesados
• Decidir si es necesaria la notificación a la AEPD
• Preparar y presentar la notificación a la AEPD en un plazo de 72 horas, si procede
• Evaluar si los interesados deben ser informados directamente
• Enviar una comunicación clara y en lenguaje sencillo si existe alto riesgo
• Registrar todas las decisiones y medidas adoptadas en el registro de violaciones
• Actualizar a la AEPD si se dispone de información adicional
• Aplicar medidas correctivas y documentar las lecciones aprendidas
• Revisar el plan de respuesta ante violaciones y corregir las deficiencias procedimentales

Cómo reducir el riesgo de violaciones del RGPD antes de que ocurran

Las empresas que gestionan bien las violaciones rara vez son las que improvisan bajo presión. Son las que se prepararon antes de que ocurriera nada.

La preparación ante violaciones del RGPD implica contar con los procesos, controles y documentación adecuados antes de que el plazo de 72 horas comience a correr. Esto incluye:

• Un plan documentado de respuesta ante violaciones con roles y vías de escalado claramente definidos
• Formación del personal sobre cómo identificar y notificar una posible violación
• Un DPD o responsable de privacidad designado y localizable con rapidez
• Contratos con encargados del tratamiento que incluyan plazos específicos de notificación de violaciones
• Controles de acceso y asignación de privilegios mínimos en todos los sistemas
• Cifrado en portátiles, dispositivos móviles y archivos que contengan datos personales
• Autenticación multifactor en las cuentas con acceso a datos personales
• Copias de seguridad seguras y un procedimiento de restauración documentado y probado
• Minimización de datos: conservar únicamente los datos personales estrictamente necesarios
• Normas claras de conservación y supresión de datos
• Registro de actividades y monitorización que favorezcan la detección temprana de violaciones
• Una plantilla de registro de violaciones lista para usar en el momento de la detección

El mejor momento para establecer un proceso de respuesta ante violaciones es antes de que empiece a correr el plazo de 72 horas.

Establezca su preparación ante violaciones antes de que empiece el plazo

Un plan de respuesta ante violaciones no debe redactarse durante una crisis. Cuando se detecta un correo enviado al destinatario equivocado, una alerta de ransomware, una violación en un proveedor o una base de datos expuesta, el proceso debe estar ya implantado.

El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas de Spanish Compliance Institute ayuda a los profesionales a comprender las obligaciones del RGPD, la respuesta ante violaciones, la documentación, la gestión de encargados del tratamiento, las evaluaciones de impacto relativas a la protección de datos (EIPD) y las expectativas de cumplimiento específicas de España, para que cuando se produzca una violación, su equipo sepa exactamente qué hacer y pueda acreditarlo. 

Referencias

• RGPD, artículo 4, apartado 12 — Definición de violación de datos personales: https://gdpr-info.eu/art-4-gdpr/
• RGPD, artículo 33 — Notificación de una violación de la seguridad de los datos personales a la autoridad de control: https://gdpr-info.eu/art-33-gdpr/
• RGPD, artículo 34 — Comunicación de una violación de la seguridad de los datos personales al interesado: https://gdpr-info.eu/art-34-gdpr/
• Directrices 9/2022 del CEPD sobre notificación de violaciones de datos personales conforme al RGPD: https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf
• AEPD — Notificación de brechas de seguridad a la autoridad de control: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-obligaciones/medidas-de-cumplimiento/notificacion-de-brechas-de-seguridad-a-la-autoridad-de-control
• RGPD, artículo 34 — Orientaciones de la AEPD sobre comunicación a los interesados: https://gdpr-info.eu/art-34-gdpr/