Brechas de seguridad: protocolo de actuación RGPD en las primeras 72 horas

por jonatanseo | 20 Feb, 2026

La notificación de brechas de seguridad a la AEPD es una de las obligaciones que más estrés genera a las empresas. Y con razón: el RGPD exige actuar en un plazo máximo de 72 horas desde que se detecta el incidente. No desde que se confirma. No desde que se evalúa. Desde que se detecta.

Y aquí es donde muchas organizaciones se bloquean. ¿Qué hago primero? ¿Llamo al informático o al abogado? ¿Tengo que notificar siempre o solo a veces? ¿Y si no estoy seguro de lo que ha pasado?

En esta guía te explicamos el protocolo de incidentes que deberías seguir hora a hora cuando sufres una violación de datos personales. Con ejemplos reales, criterios de la AEPD y la documentación que necesitas tener preparada antes de que ocurra.

Contenido del artículo

Qué es una brecha de seguridad según el RGPD

El artículo 4.12 del RGPD define la brecha de seguridad (o «violación de la seguridad de los datos personales») como cualquier incidente que provoque la destrucción, pérdida, alteración accidental o ilícita, o la comunicación no autorizada de datos personales.

Es decir, no hace falta que un hacker entre en tus sistemas. Una brecha puede ser un empleado que envía una nómina al destinatario equivocado, un portátil robado con datos de clientes sin cifrar, o una copia de seguridad que se corrompe y pierde información irrecuperable.

Tipos de brechas: confidencialidad, integridad, disponibilidad

La AEPD clasifica las brechas en tres categorías según el tipo de afectación:

Brecha de confidencialidad: cuando personas no autorizadas acceden a datos personales. Un ejemplo típico: un ciberataque que exfiltra la base de datos de clientes, o un empleado que accede a expedientes que no le corresponden.

Brecha de integridad: cuando se modifican datos de forma no autorizada. Por ejemplo, un ransomware que cifra y altera ficheros, o un error humano que sobrescribe información crítica.

Brecha de disponibilidad: cuando los datos dejan de estar accesibles temporal o permanentemente. Un fallo del servidor que impide acceder a historiales médicos durante horas entra en esta categoría.

Un mismo incidente puede combinar varias categorías. Un ataque de ransomware, por ejemplo, suele afectar a la confidencialidad (los atacantes extraen datos), la integridad (los cifran) y la disponibilidad (impiden el acceso).

Ejemplos prácticos por sector

Sector sanitario: un hospital descubre que un empleado ha accedido al historial de un paciente famoso sin justificación clínica. Es una brecha de confidencialidad que, por afectar a datos de salud, exige comunicación 72 horas a la AEPD y, probablemente, a los afectados.

Comercio electrónico: una tienda online sufre una inyección SQL que expone nombres, emails y contraseñas hasheadas de 50.000 usuarios. Aunque las contraseñas estén cifradas, existe riesgo de ataques de diccionario. Notificación obligatoria.

Asesoría o despacho profesional: se envía por error un informe fiscal con datos de un cliente a otro destinatario. Si contiene DNI, datos económicos o información sensible, debe evaluarse el riesgo y documentarse. Si el receptor confirma el borrado inmediato y no hay evidencia de uso indebido, podría no requerir notificación, pero sí registro interno.

Administración pública: un ayuntamiento publica por error en su sede electrónica un listado con nombres y NIF de solicitantes de ayudas sociales. Brecha de confidencialidad grave que requiere actuación inmediata y notificación brechas seguridad AEPD.

violación datos personales

Protocolo hora a hora: qué hacer en las primeras 72 horas

El reloj empieza a correr en el momento en que cualquier persona de la organización tiene conocimiento razonable de que ha ocurrido un incidente. No cuando el DPO lo confirma, no cuando el comité de dirección se reúne.

Por eso es fundamental tener un protocolo de incidentes definido de antemano. Cuando ocurre una brecha, no hay tiempo para improvisar.

Hora 0-4: Contención del incidente

Las primeras horas son críticas. El objetivo es limitar el daño y preservar evidencias. Estas son las acciones prioritarias:

Activar el equipo de respuesta. Convoca a las personas clave: responsable de IT, DPO (si lo tienes), dirección y, si es necesario, asesor legal externo. No pierdas tiempo en reuniones formales; una llamada de 10 minutos es suficiente para coordinar.
Contener la brecha. Dependiendo del tipo de incidente: desconectar sistemas comprometidos, revocar accesos, bloquear cuentas, aislar equipos afectados. Si es un ransomware, no apagues los equipos sin asesoramiento técnico; podrías perder evidencias en memoria.
Preservar evidencias. Antes de «limpiar», documenta: capturas de pantalla, logs, correos, cualquier rastro del incidente. Esta información será necesaria para la investigación y, potencialmente, para la AEPD o las fuerzas de seguridad.
Abrir el registro del incidente. Desde el minuto cero, documenta todo: quién detectó la brecha, a qué hora, qué sistemas están afectados, qué acciones se toman. Este registro será la base de la notificación posterior.

Hora 4-24: Evaluación de impacto

Una vez contenida la brecha, toca evaluar qué ha pasado realmente y a quién afecta.

Identifica los datos comprometidos. ¿Qué categorías de datos se han visto afectadas? Datos identificativos básicos, financieros, de salud, menores… El nivel de riesgo depende directamente del tipo de datos y del volumen de afectados.

Cuantifica el alcance. ¿Cuántas personas están afectadas? ¿100? ¿10.000? La escala determina la gravedad y las medidas de comunicación.

Evalúa el riesgo para los afectados. La pregunta clave es: ¿puede esta violación de datos personales causar daños físicos, materiales o inmateriales a las personas? Piensa en suplantación de identidad, discriminación, pérdidas económicas, daño reputacional.

Determina si hay obligación de notificar. Si existe riesgo para los derechos y libertades de las personas, hay que notificar a la AEPD. Si el riesgo es «alto», también a los propios afectados.

Hora 24-72: Notificación formal

Si has determinado que la brecha debe notificarse, las horas 24 a 72 son para preparar y enviar la comunicación.

Prepara la notificación a la AEPD. Utiliza el formulario de la sede electrónica de la Agencia. Deberás incluir la naturaleza de la brecha, categorías de datos y afectados, consecuencias probables, medidas adoptadas y datos de contacto del DPO o responsable.

Valora la comunicación a los afectados. Si el riesgo es alto, el RGPD exige comunicar directamente a las personas afectadas. Debe hacerse en un lenguaje claro y sencillo, explicando qué ha pasado y qué pueden hacer para protegerse.

Documenta todo el proceso. Aunque no notifiques porque consideras que no hay riesgo, debes registrar internamente la brecha y tu análisis. La AEPD puede solicitarlo en cualquier momento.

protocolo incidentes

Cuándo notificar a la AEPD y cuándo a los afectados

No todas las brechas se notifican. Y no todas las notificaciones van a los mismos destinatarios. El RGPD establece dos umbrales diferentes.

Criterios de gravedad

La AEPD ha publicado guías que ayudan a evaluar el nivel de riesgo. Los factores que elevan la gravedad incluyen:

Datos de categorías especiales (salud, orientación sexual, ideología, datos biométricos).
Datos de menores de edad.
Datos financieros o que permitan fraudes (tarjetas, cuentas bancarias).
Gran volumen de afectados.
Posibilidad de identificación directa de los afectados.
Datos expuestos públicamente en internet.
Personas vulnerables (pacientes, empleados, menores).

Umbrales de notificación

Notificación a la AEPD: obligatoria cuando la brecha supone un riesgo para los derechos y libertades de las personas. El plazo es de 72 horas desde la detección. Si no puedes cumplir el plazo, puedes hacer una notificación inicial y completarla después, pero deberás justificar el retraso.

Notificación a los afectados: obligatoria cuando el riesgo es «alto». Debe hacerse «sin dilación indebida» y en un lenguaje claro. La comunicación debe explicar qué datos se han visto afectados, qué consecuencias puede tener y qué medidas pueden tomar los afectados para protegerse (cambiar contraseñas, vigilar movimientos bancarios, etc.).

Sin obligación de notificar: cuando la brecha no supone riesgo real. Por ejemplo, si un empleado envía un email a un destinatario equivocado pero el receptor lo borra inmediatamente sin leerlo, o si los datos estaban cifrados y la clave no se ha visto comprometida. En estos casos, solo hay que documentar internamente.

Documentación obligatoria del incidente

El artículo 33.5 del RGPD es claro: toda brecha debe documentarse. No solo las que se notifican. La AEPD puede solicitar acceso a este registro en cualquier inspección, y la falta de documentación se considera un indicio de incumplimiento.

Plantilla de notificación a la AEPD

El formulario oficial de la AEPD requiere, como mínimo:

Descripción de la naturaleza de la brecha (confidencialidad, integridad, disponibilidad).
Categorías de datos y número aproximado de afectados.
Datos de contacto del DPO o del responsable.
Consecuencias probables de la brecha.
Medidas adoptadas o propuestas para remediar la brecha y mitigar efectos.

Si no dispones de toda la información en las primeras 72 horas, puedes enviar una notificación parcial e ir completándola. Lo importante es respetar el plazo de comunicación 72 horas para la primera comunicación.

Registro de brechas

Todas las organizaciones deben mantener un registro interno de brechas que incluya:

Fecha y hora de detección.
Descripción del incidente.
Categorías de datos y número de afectados.
Evaluación del riesgo realizada.
Decisión de notificar o no (y justificación).
Medidas adoptadas.
Comunicaciones realizadas (a AEPD, a afectados, a terceros).

Este registro demuestra que la organización tiene un protocolo de incidentes y que lo aplica. Es una evidencia de diligencia que puede atenuar sanciones si las cosas salen mal.

Plan de respuesta documentado

Más allá del registro de incidentes pasados, la AEPD espera que las organizaciones tengan un plan de respuesta ante brechas definido antes de que ocurran. Este documento debería incluir:

Definición de roles y responsabilidades (quién lidera, quién comunica, quién documenta).
Cadena de escalado y contactos de emergencia.
Procedimientos de contención según tipo de incidente.
Criterios para evaluar el riesgo.
Plantillas de notificación preparadas.
Calendario de simulacros o ejercicios de respuesta.

Si no tienes este plan y ocurre una brecha, improvisarás. Y la improvisación, en un plazo de 72 horas, suele traducirse en errores, retrasos y sanciones.

Cómo te ayuda Edorteam con la notificación de brechas de seguridad a la AEPD

En Edorteam llevamos más de 25 años ayudando a empresas a cumplir con la normativa de protección de datos. Nuestro servicio de

consultoría LOPD incluye:

Diseño del plan de respuesta ante brechas adaptado a tu organización.
Soporte en caso de incidente: evaluación de riesgo, preparación de notificaciones, comunicación con AEPD.
Plantillas de documentación y registro de brechas.
Formación a tu equipo para detectar y escalar incidentes a tiempo.
Auditorías periódicas para verificar que tus medidas de seguridad son adecuadas.

Cuando ocurre una brecha, el tiempo corre en tu contra. Tener un equipo de expertos a tu lado marca la diferencia entre una gestión ordenada y un desastre reputacional con sanción incluida.

Contacta con nosotros y te explicamos cómo podemos ayudarte a estar preparado antes de que llegue el momento crítico.

Conclusión: actúa antes de que el reloj empiece a correr

La notificación de brechas de seguridad a la AEPD no es algo que puedas resolver cuando ya ha ocurrido el incidente. Los plazos son demasiado cortos y las decisiones demasiado críticas para improvisar.

Las empresas que mejor gestionan estas situaciones son las que tienen preparado un protocolo de incidentes, un equipo formado y un registro actualizado. Cuando ocurre la brecha, solo tienen que ejecutar el plan.

Si no tienes nada de esto, el mejor momento para empezar es ahora. Antes de que las 72 horas empiecen a contar.

Solicita información

Síguenos en redes

Categorías del blog

Otras publicaciones relacionadas

Certificación ISO 27001 vs ENS: cuál necesita tu empresa (o si necesitas ambas)

13 Feb, 2026 | Soluciones de digitalización

¿ISO 27001 o ENS? La respuesta depende de a quién vendas. Este artículo compara ambas certificaciones de seguridad de la información, explica cuándo necesitas cada una y cómo implementar una estrategia dual que te permita acceder tanto al mercado privado como a la administración pública.

Prevención blanqueo capitales para pymes sin tecnicismos

2 Feb, 2026 | Soluciones de digitalización

Como saber si tu pyme tiene obligaciones de prevención de blanqueo, qué medidas aplicar y cómo detectar operaciones sospechosas sin complicarte.

ENS 2026: por qué certificarte ahora vale más que esperar a la multa

2 Ene, 2026 | Soluciones de digitalización

Certificación ENS 2026 es clave para licitaciones públicas. El proceso lleva 4-8 meses. Certificarse ahora evita perder contratos millonarios frente a competidores.