Brecha de seguridad RGPD: qué debe hacer una empresa en las primeras 72 horas

Brecha de seguridad RGPD: qué debe hacer una empresa en las primeras 72 horas

Qué es una brecha de seguridad en protección de datos

Una brecha de seguridad es cualquier incidente que afecte a datos personales y que ocasione destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a dichos datos.

Puede afectar a datos en formato digital o en papel. Puede tener origen accidental o intencionado. Puede deberse a un ataque informático, pero también a una simple equivocación interna.

Ejemplos habituales de brecha de seguridad son:

• Enviar un email con datos personales al destinatario equivocado.
• Adjuntar un archivo incorrecto.
• Enviar un correo masivo sin copia oculta.
• Perder un portátil con información de clientes.
• Sufrir un ransomware.
• Publicar documentos con datos personales en una web.
• Permitir el acceso indebido de un empleado.
• Entregar documentación a un tercero no autorizado.
• Perder expedientes físicos.
• Detectar que un proveedor ha sufrido una fuga de datos.

La clave no es solo que haya ocurrido un incidente. La clave es si ese incidente afecta a datos personales y si puede generar riesgo para las personas.

No todo es un ciberataque: los errores humanos también cuentan

Muchas empresas creen que solo existe brecha de seguridad cuando hay un hacker. Es una idea equivocada.

En protección de datos, un error humano puede ser tan relevante como un ataque informático. Un correo enviado a quien no corresponde, una carpeta compartida sin permisos adecuados o una nómina remitida a la persona equivocada pueden generar una brecha.

El RGPD no sanciona únicamente la mala fe. También puede sancionar la falta de diligencia.

Por eso, cuando una empresa dice “ha sido un error humano”, la pregunta jurídica es otra: ¿tenía la empresa medidas razonables para evitarlo?

El caso del email de RRHH con nóminas de toda la plantilla

Uno de los casos más claros es el de una empresa cuyo departamento de Recursos Humanos envió por error a un trabajador un archivo PDF con las nóminas de toda la plantilla.

El archivo contenía datos de 447 trabajadores: nombre, apellidos, DNI o NIE, número de la Seguridad Social, cuenta bancaria y retribución percibida.

El trabajador avisó del error y afirmó que eliminaba el correo. Sin embargo, el empleado de RRHH que cometió el fallo no lo comunicó a sus superiores. La empresa no tuvo conocimiento del incidente hasta que recibió la notificación de la reclamación presentada ante la AEPD.

La AEPD sancionó a la empresa con 300.000 euros por vulneración del deber de confidencialidad e integridad y con 150.000 euros por falta de medidas técnicas y organizativas adecuadas.

La enseñanza es clara: el problema no fue solo enviar el email equivocado. El problema fue no tener medidas suficientes para evitarlo, detectarlo y gestionarlo correctamente.

Cuándo empieza el plazo de 72 horas

El RGPD establece que, cuando una brecha de seguridad entrañe riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe notificarla a la autoridad de control sin dilación indebida y, si es posible, en un plazo máximo de 72 horas desde que tiene constancia.

El plazo no empieza cuando la empresa termina toda la investigación interna. Empieza cuando tiene conocimiento suficiente de que puede haberse producido una brecha de datos personales.

Por eso, es fundamental que los trabajadores sepan comunicar internamente cualquier incidente. Si el empleado que detecta el error no avisa, la empresa puede perder un tiempo precioso.

Qué debe analizar la empresa nada más detectar la brecha

Cuando se detecta una brecha, la empresa debe actuar de forma ordenada. Lo primero es identificar qué ha ocurrido.

Debe analizar:

• Qué datos se han visto afectados.
• Cuántas personas están implicadas.
• Quién ha recibido o podido acceder a los datos.
• Si los datos estaban cifrados.
• Si hay datos bancarios, salariales, de salud o especialmente delicados.
• Si puede existir riesgo de fraude, suplantación o daño reputacional.
• Si el incidente está controlado.
• Qué medidas se han adoptado para reducir el daño.
• Si hay que notificar a la AEPD.
• Si hay que comunicar la brecha a los afectados.

Improvisar en este momento puede agravar la responsabilidad de la empresa.

Cuándo hay que notificar a la AEPD

No todas las brechas deben notificarse a la AEPD. La obligación nace cuando la brecha supone un riesgo para los derechos y libertades de las personas físicas.

Por ejemplo, si se filtran datos bancarios, datos salariales, documentos de identidad, datos de salud o información que pueda generar perjuicio económico o reputacional, la empresa debe analizar seriamente la necesidad de notificar.

La notificación debe explicar la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de interesados, las posibles consecuencias y las medidas adoptadas.

Si no se dispone de toda la información en las primeras horas, puede realizarse una notificación inicial y ampliarla posteriormente.

Cuándo hay que comunicar la brecha a los afectados

Cuando la brecha entrañe un alto riesgo para los derechos y libertades de las personas, además de notificar a la AEPD, puede ser necesario comunicarla a los afectados.

La comunicación debe ser clara y comprensible. Debe indicar qué ha ocurrido, qué datos pueden estar afectados, qué consecuencias puede tener y qué medidas puede adoptar la persona afectada.

En un caso de nóminas, cuentas bancarias, DNI y salarios, la empresa debe valorar con especial cuidado si los trabajadores deben ser informados.

Qué documentación debe conservar la empresa

Aunque la empresa concluya que no debe notificar la brecha, debe documentar el incidente. Esta documentación puede ser clave si más adelante existe una reclamación.

Debe conservarse:

• Fecha y hora de detección.
• Persona que comunica el incidente.
• Descripción de lo ocurrido.
• Datos afectados.
• Personas afectadas.
• Evaluación del riesgo.
• Medidas adoptadas.
• Decisión sobre notificación.
• Comunicaciones realizadas.
• Medidas correctoras.
• Evidencias técnicas.

La documentación demuestra diligencia. Y en protección de datos, demostrar es casi tan importante como cumplir.

Errores que agravan la responsabilidad

Algunos errores pueden agravar la posición de la empresa:

• No comunicar internamente la brecha.
• No tener protocolo de actuación.
• No documentar el incidente.
• No analizar el riesgo.
• No notificar a tiempo cuando procede.
• No informar a los afectados cuando existe alto riesgo.
• No adoptar medidas correctoras.
• No formar al personal.
• No revisar los sistemas después del incidente.
• No contar con asesoramiento especializado.

La AEPD valora la reacción de la empresa. Una respuesta rápida, documentada y proporcionada puede ser decisiva.

Protocolo interno de brechas de seguridad

Toda empresa debería tener un protocolo interno de brechas de seguridad. Este documento debe indicar qué hacer cuando se detecta un incidente, a quién avisar, quién analiza el riesgo, quién decide la notificación y cómo se documenta todo.

Un buen protocolo debe incluir:

• Canal interno de comunicación.
• Responsable de gestión de incidentes.
• Intervención del DPD si existe.
• Criterios de valoración del riesgo.
• Plantilla de informe interno.
• Procedimiento de notificación a la AEPD.
• Modelo de comunicación a afectados.
• Medidas de contención.
• Medidas correctoras.
• Revisión posterior.

Este protocolo debe ser conocido por las personas que tratan datos personales, especialmente administración, RRHH, atención al cliente, informática, dirección y marketing.

Cómo ayuda un abogado de protección de datos

Ante una brecha de seguridad, una empresa necesita actuar rápido, pero también con precisión jurídica. No se trata solo de llamar al informático. Es necesario valorar obligaciones legales, riesgo para los afectados, deber de notificación, documentación y responsabilidad.

Un abogado especializado en protección de datos puede ayudar a:

• Analizar si existe brecha.
• Valorar el riesgo.
• Preparar la notificación a la AEPD.
• Redactar comunicación a afectados.
• Documentar la decisión.
• Adoptar medidas correctoras.
• Revisar contratos y protocolos.
• Preparar la defensa si existe reclamación.

En Català Reinón Abogados asesoramos a empresas que han sufrido brechas de seguridad y también ayudamos a prevenirlas mediante auditorías RGPD, protocolos internos y formación.

Conclusión

Una brecha de seguridad puede producirse en cualquier empresa. Lo importante no es solo evitarla, sino estar preparado para reaccionar.

Las primeras 72 horas pueden marcar la diferencia entre una gestión diligente y una sanción. Por eso, toda empresa que trate datos de clientes, trabajadores o proveedores debe contar con un protocolo claro, medidas de seguridad adecuadas y asesoramiento especializado.

¿Tu empresa sabe qué hacer si mañana se filtran datos de clientes o trabajadores?

En Català Reinón Abogados revisamos tus protocolos de brechas, medidas de seguridad y obligaciones RGPD para que puedas actuar con rapidez y seguridad.

Artículo revisado y validado por Gemma Reinón Tardáguila, abogada de Català Reinón Abogados.

Publicado: Mayo 2026
Especialista en Protección de Datos
Abogado/a Colegiado/a