Logotipo Servicios Integrales Para Pymes
Cita online
,

Gestión de brechas: registro, notificación y aprendizaje (arts. 33–34 RGPD)

Brecha de datos: qué es y por qué debe gestionarse con método

Una brecha de datos personales no es solo “un hackeo”. El RGPD define brecha como cualquier incidente de seguridad que provoque destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales (art. 4). Puede ser un ransomware, pero también un correo enviado a destinatario incorrecto, un portátil extraviado sin protección, una carpeta compartida mal configurada o un acceso indebido interno.

El RGPD exige dos cosas clave: medidas de seguridad apropiadas (art. 32) y un modelo de gestión de brechas que incluya notificación a la autoridad cuando proceda (art. 33) y comunicación a las personas afectadas cuando el riesgo sea alto (art. 34). La LOPDGDD se integra en este marco como norma nacional complementaria, pero el núcleo operativo proviene del RGPD.

Beneficios de un proceso de gestión de brechas

  • Reducción de daño: contener a tiempo limita impacto.
  • Decisiones defensables: notificar o no notificar debe basarse en evaluación de riesgo, no en intuición.
  • Mejora continua: cada incidente deja lecciones para reforzar controles.
  • Confianza: una comunicación responsable preserva reputación más que el silencio o la improvisación.

Riesgos de una mala gestión

  • Notificar tarde o mal: eleva riesgo legal y reputacional.
  • No tener evidencias: sin registro, no se puede justificar la evaluación ni las medidas adoptadas.
  • Ocultar el incidente: suele empeorar el impacto si se descubre por terceros.
  • Comunicación innecesaria: avisar a afectados sin base puede generar alarma y daño reputacional, además de exponer información sensible.
  • No coordinar con proveedores: si el incidente ocurre en un encargado (nube, CRM), el responsable necesita cooperación inmediata.

Notificación a la autoridad: criterio y trazabilidad

El art. 33 RGPD establece que cuando una brecha pueda suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control sin dilación indebida y, cuando sea posible, en un plazo de 72 horas desde que se tenga constancia. La clave práctica es definir qué significa “tener constancia”: cuándo la organización dispone de información suficiente para afirmar que hay brecha y comenzar la evaluación.

No todos los incidentes se notifican, pero todos deberían registrarse internamente. Ese registro es parte de la responsabilidad proactiva: fecha, naturaleza del incidente, categorías y volumen aproximado, medidas adoptadas, evaluación de riesgo y decisión final.

Comunicación a las personas afectadas

El art. 34 RGPD exige comunicar a los afectados cuando la brecha sea probable que entrañe un alto riesgo. Aquí el dilema seguridad–privacidad es intenso:

  • La privacidad exige informar para que la persona pueda protegerse (cambio de contraseñas, vigilancia de fraude, etc.).
  • La seguridad exige no revelar detalles que faciliten nuevos ataques o expongan más datos.

Una buena comunicación informa con claridad sobre qué pasó, qué datos podrían estar afectados, qué medidas se han adoptado y qué recomendaciones prácticas debe seguir la persona, sin divulgar información técnica innecesaria.

¿Cuándo es obligatoria una EIPD?

La EIPD (art. 35 RGPD) no se activa por una brecha, sino por el alto riesgo del tratamiento. Sin embargo, una brecha repetida o especialmente grave es una señal de que el tratamiento o el sistema tiene fallos estructurales. En ese caso, puede ser razonable reevaluar si el tratamiento requiere EIPD o si las medidas existentes ya no son proporcionales.

Medidas de proporcionalidad: qué significa en incidentes

Proporcionalidad no es “hacerlo perfecto”; es tener un sistema acorde al riesgo:

  • Clasificar incidentes y escalarlos a responsables.
  • Contener: aislar sistemas, revocar accesos, detener exfiltración, preservar evidencias.
  • Evaluar: tipo de datos, alcance, posibilidad de identificación, consecuencias posibles (fraude, suplantación, discriminación, daño reputacional).
  • Decidir: notificación a autoridad, comunicación a afectados, y en qué contenido.
  • Aprender: mejoras concretas (accesos, segmentación, formación, copias, cifrado, control de cambios).

Gestionar brechas con rigor no elimina incidentes, pero sí marca la diferencia entre un problema acotado y un desastre. Un proceso documentado y mantenido alinea RGPD y seguridad: protege a las personas y protege la continuidad del negocio.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones