Skip to main content
Prueba Lexiel gratisProbar ahora →
20 minAdrián

Gestión de brechas de seguridad

Qué es una brecha, notificación a la AEPD en 72 horas, comunicación al interesado, registro de brechas, protocolo de respuesta y sanciones por no notificar.

¿Qué es una brecha de seguridad?

Una brecha de seguridad de datos personales (o "violación de seguridad") es cualquier incidente que provoque la destrucción, pérdida, alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales. El art. 4.12 del RGPD la define de forma amplia, y abarca tres tipos:

  1. Brecha de confidencialidad: Acceso o divulgación no autorizada (por ejemplo, un empleado accede a expedientes de clientes sin justificación, o se envía un email con datos personales al destinatario equivocado).
  2. Brecha de integridad: Alteración no autorizada de los datos (por ejemplo, un ataque que modifica los datos de contacto de los clientes en la base de datos del despacho).
  3. Brecha de disponibilidad: Pérdida de acceso o destrucción de los datos (por ejemplo, un ransomware que cifra los expedientes del despacho y no hay copia de seguridad accesible).

Ejemplos habituales en despachos

  • Robo o pérdida de un portátil o teléfono sin cifrado que contiene datos de clientes.
  • Envío masivo de emails con las direcciones en copia visible (CC en lugar de CCO).
  • Acceso no autorizado al sistema de gestión del despacho por credenciales comprometidas.
  • Destrucción de documentación sin protocolo de destrucción segura.

Notificación a la AEPD (art. 33 RGPD)

El responsable del tratamiento debe notificar la brecha a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento de ella. Si la notificación se realiza fuera de plazo, debe ir acompañada de una justificación del retraso.

La notificación debe incluir:

  • Naturaleza de la brecha (tipo, categorías de datos afectados, número aproximado de interesados).
  • Nombre y datos de contacto del DPO o punto de contacto.
  • Consecuencias probables de la brecha.
  • Medidas adoptadas o propuestas para remediar la brecha y mitigar sus efectos.

Excepción: No es necesario notificar si es improbable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas. Pero esta decisión debe estar documentada y justificada.

La AEPD pone a disposición un formulario de notificación en su sede electrónica. El proceso se puede iniciar con una notificación preliminar (cuando aún no se dispone de toda la información) y completar con notificaciones sucesivas.

Comunicación al interesado (art. 34 RGPD)

Además de notificar a la AEPD, cuando la brecha suponga un alto riesgo para los derechos y libertades de los afectados, debes comunicárselo directamente. La comunicación debe describir en lenguaje claro:

  • La naturaleza de la brecha.
  • El nombre y datos de contacto del DPO o punto de contacto.
  • Las consecuencias probables.
  • Las medidas adoptadas y las recomendaciones para que el afectado se proteja.

No es necesaria la comunicación al interesado cuando: se han aplicado medidas técnicas que hacen ininteligibles los datos (como cifrado), se han tomado medidas posteriores que eliminan el alto riesgo, o supondría un esfuerzo desproporcionado (en cuyo caso se puede hacer una comunicación pública).

Registro de brechas

Independientemente de si notificas o no a la AEPD, el art. 33.5 del RGPD exige que documentes todas las brechas de seguridad en un registro interno. Este registro debe incluir: los hechos, sus efectos y las medidas correctivas adoptadas. Sirve como evidencia de cumplimiento y la AEPD puede solicitarlo en cualquier inspección.

Protocolo de respuesta recomendado

  1. Detección y contención: Identifica el incidente, aísla los sistemas afectados y detén la brecha si es posible.
  2. Evaluación inicial: Determina el alcance (qué datos, cuántos interesados, qué riesgo).
  3. Decisión de notificación: ¿Hay riesgo para los derechos de los afectados? Si es probable, notifica a la AEPD en 72 horas.
  4. Comunicación al interesado: ¿Hay alto riesgo? Si es así, comunica a los afectados de forma directa y clara.
  5. Registro y documentación: Documenta todo el proceso en el registro de brechas.
  6. Análisis posterior: Identifica la causa raíz e implementa medidas para evitar la recurrencia.

Sanciones por no notificar

No notificar una brecha a la AEPD, o notificarla fuera de plazo sin justificación, puede dar lugar a sanciones significativas. La AEPD ha impuesto multas de entre 60.000 y 600.000 euros por incumplimientos relacionados con la gestión de brechas. En el marco del RGPD, las sanciones pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio anual global.

Vídeo próximamente

Por ahora puedes leer el contenido escrito más abajo

Evaluación del módulo

1

Un abogado envía por error un email con el expediente médico de un cliente a otro cliente del despacho. ¿De qué tipo de brecha se trata?

2

Detectas una brecha el viernes a las 18:00. ¿Cuándo vence el plazo máximo de notificación a la AEPD?

3

Un ransomware cifra todos los expedientes del despacho. Tienes una copia de seguridad completa actualizada y restauras los datos en 4 horas. ¿Debes notificar a la AEPD?

4

Tras una brecha que afecta a datos de salud de 500 clientes, decides no comunicar a los afectados porque ya has notificado a la AEPD. ¿Es correcto?

5

Hace 6 meses se produjo una brecha menor en el despacho que no notificaste a la AEPD por ser de bajo riesgo. En una inspección, la AEPD pide ver tu registro de brechas. ¿Estás obligado a tenerlo?

¿Tienes dudas legales propias?

El Plan Particular te da 50 consultas al mes con respuestas verificadas del BOE y la jurisprudencia.

Probar 14 días gratis
AnteriorSiguiente
Gestión de brechas de seguridad | Academia Lexiel