SecuryBlack
Blog/Rgpd

RGPD y brechas de datos: qué obligaciones tiene tu empresa

·7 min de lectura
RGPD y brechas de datos: qué obligaciones tiene tu empresa

Si tu empresa opera en la UE o trata datos de ciudadanos europeos, el RGPD te afecta directamente. Y cuando hablamos de brechas de datos, las obligaciones son estrictas: plazos de 72 horas, notificaciones obligatorias y sanciones que pueden llegar a los 20 millones de euros. Esta guía te explica todo lo que necesitas saber.

¿Qué dice el RGPD sobre las brechas de datos?

El Reglamento General de Protección de Datos (RGPD) define una brecha de seguridad como cualquier incidente que cause la destrucción, pérdida, alteración o divulgación no autorizada de datos personales.

Esto incluye:

  • Un ataque informático que expone datos de clientes
  • Un empleado que pierde un portátil con información sensible
  • Un error de configuración que deja una base de datos accesible públicamente
  • Un email enviado al destinatario equivocado con datos personales

Obligación 1: Notificar a la AEPD en 72 horas

Si la brecha supone un riesgo para los derechos y libertades de las personas afectadas, debes notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tengas conocimiento de la brecha.

¿Qué incluir en la notificación?

  1. Naturaleza de la brecha — Qué tipo de incidente fue
  2. Datos afectados — Qué categorías de datos se vieron comprometidos
  3. Número de afectados — Estimación de las personas cuyos datos fueron expuestos
  4. Consecuencias probables — Qué riesgos existen para los afectados
  5. Medidas adoptadas — Qué has hecho para mitigar el daño
  6. DPO — Datos de contacto del Delegado de Protección de Datos

¿Y si no tengo toda la información en 72 horas?

Puedes hacer una notificación parcial y completarla después. Lo importante es no superar el plazo de 72 horas para la primera comunicación.

Obligación 2: Notificar a los afectados

Si la brecha supone un alto riesgo para los afectados, además de notificar a la AEPD, debes comunicar la brecha directamente a las personas afectadas.

¿Cuándo hay "alto riesgo"?

  • Datos financieros expuestos (tarjetas, cuentas bancarias)
  • Contraseñas sin cifrar o con cifrado débil
  • Datos de salud
  • Documentos de identidad
  • Datos que permitan suplantación de identidad

¿Qué decirles a los afectados?

  1. Qué ha ocurrido (en lenguaje claro)
  2. Qué datos suyos se han visto afectados
  3. Qué pueden hacer para protegerse
  4. Qué medidas ha tomado la empresa
  5. Cómo contactar con el DPO

Sanciones: el coste de no cumplir

| Tipo de infracción | Multa máxima | |---|---| | No notificar una brecha a la AEPD | Hasta 10M € o 2% facturación global | | No notificar a los afectados | Hasta 20M € o 4% facturación global | | No implementar medidas de seguridad adecuadas | Hasta 20M € o 4% facturación global |

Ejemplos reales de sanciones en España

  • CaixaBank — 6 millones € por fallos en la protección de datos
  • Vodafone — 8,15 millones € por infracciones múltiples
  • BBVA — 5 millones € por tratamiento ilícito de datos

Las pymes no están exentas: la AEPD adapta las multas al tamaño de la empresa, pero las sanciones existen para todos.

Plan de acción: prepárate antes de que ocurra

1. Prevención

  • Escanea regularmente los emails corporativos con SecuryBlack para detectar credenciales comprometidas
  • Activa 2FA en todos los sistemas
  • Forma a tu equipo en buenas prácticas de seguridad
  • Minimiza los datos que recopilas — cuantos menos datos tengas, menor es el riesgo

2. Detección

  • Monitorización continua de brechas con SecuryBlack
  • Logs de acceso a sistemas críticos
  • Alertas de actividad sospechosa

3. Respuesta (ten esto preparado)

  • Documento de procedimiento de notificación de brechas
  • Plantilla de notificación a la AEPD lista para usar
  • Plantilla de comunicación a los afectados
  • Datos del DPO (o del responsable designado)
  • Contacto del asesor legal con experiencia en RGPD

4. Registro

El RGPD exige llevar un registro de todas las brechas, incluso de las que no requieren notificación. Documenta:

  • Fecha y hora de descubrimiento
  • Naturaleza del incidente
  • Datos afectados
  • Medidas adoptadas
  • Decisión de notificar o no (y por qué)

Recursos útiles

La prevención empieza por saber tu estado actual. Comprueba los emails de tu empresa y activa la monitorización continua.