Ir al contenido
Oferta de lanzamientoSolo hasta el …. Después, cada plan vuelve a su precio de siempre.Ver precios

Blog

Brechas de seguridad: qué hacer en las primeras 72 horas

Autor: Tranquilia by GRAC SA10 min de lectura

Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.

Respuesta directa: si en tu negocio se pierden, filtran o roban datos personales, tienes 72 horas desde que te enteras —no desde que ocurrió— para decidir si hay que avisar a la Agencia Española de Protección de Datos (AEPD), según el artículo 33 del Reglamento (UE) 2016/679 (RGPD). Muchas brechas pequeñas no necesitan notificación a la AEPD, pero todas, se notifiquen o no, tienes que apuntarlas en tu registro interno de incidentes (art. 33.5 RGPD). Esta guía, revisada el 16 de julio de 2026, explica qué hacer en las primeras horas, cuándo avisar y cuándo no, con enlaces a las fuentes oficiales.

Sumario

¿Qué es exactamente una brecha de seguridad de datos?

Una brecha de seguridad (el RGPD la llama «violación de la seguridad de los datos personales», art. 4.12) es cualquier fallo que afecta a datos personales que guardas: se pierden, se destruyen, se cambian sin permiso o llegan a alguien que no debía verlos.

No hace falta un ataque informático para que cuente. Son brechas de seguridad, entre otros, estos casos:

  • Un portátil o un móvil de trabajo perdido o robado, con datos de clientes o empleados dentro.
  • Un correo con una nómina, una lista de clientes o un contrato enviado a la persona equivocada.
  • Una carpeta con documentos en papel olvidada en un sitio público.
  • Un ataque informático, un virus o un ransomware que entra en tus sistemas.
  • Un acceso de alguien de tu equipo a datos que no le correspondían.

La ley no distingue entre «brecha grande» y «brecha pequeña» a la hora de exigirte que la registres: la diferencia solo importa a la hora de decidir si hay que avisar a la AEPD, a las personas afectadas, a las dos partes o a ninguna. Eso es justo lo que vemos en el resto del artículo.

¿Qué hago en la primera hora?

Antes de pensar en notificaciones, hay tres cosas que puedes resolver en unos minutos:

  1. Para el fallo si todavía está en marcha. Cambia la contraseña, revoca el acceso, recupera el dispositivo si es posible. No borres nada que pueda servir para entender qué ha pasado.
  2. Anota la hora exacta en la que te has enterado. Es el dato más importante de todos: de ahí empiezan a contar las 72 horas, no de cuándo ocurrió el fallo en realidad.
  3. Reúne lo que ya sabes, aunque sea poco: qué ha pasado, qué tipo de datos hay implicados (nombres, correos, datos de salud, cuentas bancarias…) y de cuántas personas, aunque sea una cifra aproximada.

No necesitas tener la respuesta completa para empezar. La AEPD admite notificaciones con información parcial, que se completa después (lo explicamos en el apartado ¿Cómo se notifica a la AEPD?).

¿Cuándo tengo que avisar a la AEPD y cuándo no?

La regla del art. 33 RGPD es esta: tienes que notificar salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas. En la práctica, eso se traduce en dos escenarios habituales:

Probablemente no hace falta notificar cuando, por ejemplo, los datos estaban cifrados y la clave no se ha visto comprometida, o cuando el dato que se ha filtrado no permite identificar a nadie ni causarle un perjuicio real (un archivo con solo códigos internos, sin nombres ni datos de contacto).

Probablemente sí hace falta notificar cuando los datos afectados son identificables y su pérdida, filtración o uso indebido puede causar un daño real a las personas: robo de identidad, perjuicio económico, discriminación, o cuando se trata de datos de categoría especial (salud, origen étnico, orientación sexual, afiliación sindical, entre otros).

Aunque la conclusión sea «no hace falta notificar a la AEPD», eso no te libera de una obligación: siempre tienes que documentar el fallo en tu registro interno. Lo vemos en el apartado ¿Qué tengo que documentar aunque no notifique nada?

¿Cómo se cuentan exactamente las 72 horas?

El plazo empieza cuando tú tienes constancia razonable del fallo, no cuando ocurrió de verdad. Si un fallo pasó el lunes pero no te enteras hasta el sábado, el reloj de las 72 horas empieza el sábado, no el lunes.

Las 72 horas se cuentan en horas corridas, no en días laborables: si te enteras un viernes a las 18:00, el plazo termina el lunes a las 18:00, festivos y fin de semana incluidos. No hay una pausa por vacaciones ni por cierre del negocio.

Este detalle es el que más confunde: mucha gente cuenta el plazo desde el momento del fallo, y llega tarde sin haberse dado cuenta. Anotar la fecha y la hora exactas en las que te enteraste, desde el primer minuto, es lo que te permite calcular bien el plazo.

¿Qué pasa si no llego a tiempo?

Si te pasas de las 72 horas, la instrucción no es «ya no merece la pena avisar»: sigue siendo mejor notificar tarde que no notificar. El propio art. 33 RGPD prevé este caso: si la notificación no se hace en plazo, tiene que ir acompañada de los motivos de la dilación.

En la práctica, eso significa una frase honesta y sin excusas: qué ha pasado para que el aviso llegue después de las 72 horas (por ejemplo, que hiciera falta más tiempo para entender el alcance real del fallo). No es un trámite que desaparece por haberse pasado de plazo, es un trámite que se hace igual, explicando el retraso.

¿Tengo que avisar también a las personas afectadas?

A veces, sí, además de avisar a la AEPD. El art. 34 RGPD obliga a comunicar la brecha directamente a las personas afectadas cuando es probable que suponga un riesgo alto para sus derechos: por ejemplo, si se han filtrado datos bancarios, contraseñas o datos de salud que pueden usarse en su contra.

Cuando toca avisarlas, la comunicación tiene que hacerse sin demora injustificada y en un lenguaje claro y sencillo —el mismo nivel de sencillez que exige el resto de la comunicación con clientes—, explicando qué ha pasado, qué datos suyos están afectados, qué consecuencias puede tener y qué pueden hacer ellas para protegerse.

No siempre hace falta este segundo aviso: muchas brechas que sí se notifican a la AEPD no llegan al nivel de riesgo alto que activa el art. 34. La decisión depende del caso concreto, no de una regla automática.

¿Cómo se notifica a la AEPD en la práctica?

La AEPD explica en su página sobre brechas de seguridad que las notificaciones se hacen de forma electrónica, a través de su Sede Electrónica. En esa misma página, la AEPD pone a disposición de responsables y encargados del tratamiento herramientas de ayuda: una para valorar si un incidente concreto exige notificación (Asesora Brecha) y otra para preparar y enviar el aviso (Comunica-Brecha RGPD).

El contenido mínimo del aviso, según el art. 33.3 RGPD, incluye: qué ha pasado, aproximadamente cuántas personas y cuántos datos están afectados, un contacto donde puedan pedir más información, qué consecuencias probables puede tener y qué medidas has tomado o vas a tomar. Si al llegar a las 72 horas todavía no tienes toda la información, puedes notificar con lo que sepas y completarlo después por fases: el RGPD lo permite expresamente.

¿Qué tengo que documentar aunque no notifique nada?

Esta es la obligación que más se pasa por alto. El art. 33.5 RGPD te exige documentar todas las brechas de seguridad, se notifiquen o no a la AEPD: los hechos relacionados con la brecha, sus efectos y las medidas correctivas adoptadas.

Ese registro tiene que incluir, como mínimo:

  • La fecha en la que ocurrió el fallo y la fecha en la que te enteraste.
  • Qué ha pasado.
  • Qué tipo de datos y de cuántas personas se han visto afectadas, aproximadamente.
  • Qué consecuencias puede tener para esas personas.
  • Qué medidas has tomado, o vas a tomar, para solucionarlo y que no vuelva a pasar.

Si nunca ha ocurrido ningún fallo en tu negocio, tu registro puede estar vacío: eso no es un problema, es lo normal, y esa hoja en blanco ya cumple con la ley. Lo que sí sería un problema es no tener el registro preparado para el día que haga falta.

¿Qué pasa si no cumplo esto?

La AEPD es quien vigila esto en España. Puede pedir explicaciones, ordenar cambios, avisar o poner una multa. El RGPD fija los máximos posibles en dos niveles: hasta 10 millones de euros o el 2 % de la facturación mundial anual, y hasta 20 millones o el 4 %, según la infracción (art. 83 RGPD); se aplica la cifra más alta de las dos.

En la práctica, esas cifras son el techo legal, no lo habitual: la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado. Un negocio pequeño que registra sus incidentes y notifica cuando toca no está en ese escenario. Por eso conviene tener el procedimiento montado con calma, antes de que haga falta usarlo, y no improvisarlo el día que ocurre un fallo de verdad.

Checklist de las primeras 72 horas

Un resumen para tener a mano el día que haga falta, no una lista para memorizar hoy:

  1. Contén el fallo. Cambia contraseñas, revoca accesos, recupera lo que puedas.
  2. Anota la hora exacta en la que te has enterado. De ahí cuentan las 72 horas.
  3. Reúne lo que sabes: qué ha pasado, qué datos y de cuántas personas, aproximadamente.
  4. Valora el riesgo para las personas afectadas: ¿pueden sufrir un perjuicio real?
  5. Si hay riesgo, notifica a la AEPD por la Sede Electrónica, dentro de las 72 horas o explicando el motivo del retraso.
  6. Si el riesgo es alto para las personas, avísalas también a ellas, sin demora y con lenguaje claro.
  7. Documenta el incidente en tu registro interno, haya hecho falta notificar o no.
  8. Revisa qué medida evita que vuelva a pasar, y apúntala en el propio registro.

Preguntas frecuentes

¿Las 72 horas cuentan desde que pasó el fallo o desde que me entero? Desde que te enteras. Si el fallo ocurrió antes pero no lo descubres hasta más tarde, el plazo empieza en el momento del descubrimiento, no en el del fallo.

¿Perder un móvil de trabajo cuenta como brecha de seguridad? Sí, si ese móvil tiene acceso a datos personales: contactos, correos, aplicaciones con datos de clientes o empleados. Cuenta igual que un ataque informático a efectos de registro y, si hace falta, de notificación.

¿Tengo que notificar aunque no esté seguro de si hay riesgo? La regla es notificar salvo que sea improbable que haya riesgo. Si tienes dudas razonables, la opción más prudente es notificar; en cualquier caso, documenta el incidente siempre, notifiques o no.

¿Qué pasa si mi registro de incidentes está vacío? No pasa nada: significa que, por ahora, no ha ocurrido ningún fallo de seguridad en tu negocio. Un registro vacío ya cumple con la obligación del art. 33.5 RGPD; lo importante es tenerlo listo para el día que haga falta usarlo.

¿Puedo notificar a la AEPD con información incompleta? Sí. El art. 33.4 RGPD permite facilitar la información por fases si no está toda disponible al principio, siempre que no lo dilates sin motivo.

Fuentes oficiales


Cómo seguir a partir de aquí

Detectar un fallo de seguridad da vértigo, sobre todo si no sabes por dónde empezar. En Tranquilia tienes un cuestionario guiado de 6 preguntas que te dice si hay que avisar a la AEPD y, si toca, te deja preparado el borrador del aviso y el registro interno del incidente, listos para repasar con tu gestoría.

👉 Empieza el cuestionario de brecha de seguridad — gratis para hasta 2 empresas, sin tarjeta y sin límite de tiempo.


Informe de contenido elaborado con Tranquilia — no constituye una certificación oficial ni un dictamen jurídico. Si tienes dudas sobre un caso concreto, consulta con tu gestoría o con un profesional del derecho.

Pon a tus clientes en regla con el RGPD en 15 minutos.

Crear mi instancia gratis

Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.

Blog