Notificar o no notificar una brecha de seguridad

Notificar o no notificar una brecha, no es la cuestión

En 2025, la Agencia Española de Protección de Datos (AEPD) recibió más de 2.700 notificaciones de brechas de seguridad que afectaron a datos personales, lo que refleja un crecimiento notable de incidentes comunicados por entidades de todo tipo.

Este incremento confirma que cada vez más organizaciones se toman en serio la seguridad de su información y la protección de datos personales que custodian.

Sin embargo, muchas empresas siguen dudando sobre si deben o no notificar estas brechas por temor a sanciones, repercusiones económicas o daños reputacionales. Esta inquietud es comprensible, pero jurídicamente no está justificada ni debe paralizar a ninguna organización responsable del tratamiento de datos personales.

¿Qué dice la normativa?

El Reglamento General de Protección de Datos (RGPD) establece que, cuando ocurre una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de las personas, el responsable del tratamiento debe notificar a la autoridad de control competente, es decir, a la AEPD, o a la autoridad autonómica en caso de entidades públicas, sin dilaciones indebidas y, en todo caso, en un plazo máximo de 72 horas desde que tiene constancia de la brecha.

La obligación de notificación surge siempre que exista un riesgo real, para los derechos y libertades de las personas afectadas por la brecha de seguridad, pero no en todos los casos, por tanto el responsable del tratamiento debe documentar internamente el incidente y evaluar dicha obligación. Esa documentación es clave para demostrar cumplimiento ante inspección o reclamaciones.

Notificar no es sinónimo de sancionar

Existe un mito muy extendido según el cual notificar una brecha automáticamente desencadena un procedimiento sancionador, pero la realidad es otra ya que de todas las notificaciones recibidas por la AEPD, solo una fracción mínima (aproximadamente un 2,5 %) ha sido remitida para valorar un procedimiento inspeccionador y ello solo cuando se ha acreditado una deficiente gestión de la seguridad y falta de diligencia por parte del responsable del tratamiento.

A grandes rasgos:

  • Notificar a tiempo y correctamente demuestra diligencia y cumplimiento proactivo del RGPD.
  • La notificación no implica automáticamente una sanción.
  • La inadmisión de notificación o su retraso injustificado es lo que puede constituir una infracción sancionable bajo el RGPD y la LOPDGDD.

¿Y qué pasa con los afectados?

Además de notificar a la autoridad, si la brecha presenta un alto riesgo para los derechos y libertades de los interesados, también existe la obligación de comunicarlo a las personas afectadas de forma clara, sin ambigüedad y explicando las consecuencias y medidas correctoras aplicadas. Esto último es especialmente relevante para mantener la confianza de clientes y usuarios.

La AEPD incluso pone a disposición de los responsable del tratamiento de herramientas como Comunica-Brecha RGPD, que ayudan a evaluar si se debe comunicar el incidente a los afectados en función del nivel de riesgo y otros factores.

Consecuencias para tu empresa

Para cualquier empresa, desde pymes hasta grandes corporaciones, cumplir con las obligaciones de notificación de brechas de seguridad, no es solo una exigencia legal, sino también una oportunidad de demostrar transparencia y reforzar la confianza ante clientes y socios.

Para ello, es imprescindible contar con un procedimiento interno de gestión de brechas que incluya al menos:

  1. Detección rápida del incidente y evaluación preliminar de riesgos.
  2. Notificación a la AEPD en 72 horas si existe riesgo.
  3. Comunicación a los afectados si el riesgo es alto.
  4. Documentación completa del incidente, aunque no se notifique a la AEPD.
  5. Revisión y mejora continua de medidas de seguridad.

Business Adapter® a tu servicio

Notificar una brecha de datos personales no debe verse como un castigo, sino como una obligación que protege a las personas y fortalece al responsable del tratamiento. La normativa europea y española (RGPD y LOPDGDD) exigen esta obligación en función del riesgo, pero también contemplan mecanismos y guías que ayudan a cumplir correctamente con ella.

En Business Adapter ayudamos a tu empresa a implantar procesos de gestión de brechas alineados con la normativa, minimizando riesgos y potenciando la transparencia y la confianza de tus clientes.

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!