BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 02 noviembre 2025

Brecha de datos: cuándo notificar, cuándo no, dentro de 72 horas

No todo incidente es una brecha de datos. No toda brecha hay que notificarla a la autoridad competente. Aquí tienes el árbol de decisión y una plantilla de notificación lista para usar.

Una brecha de datos (breach) es una violación de la seguridad en la que datos personales han sido destruidos, perdidos, alterados, divulgados o accedidos por personas no autorizadas. ¿Cuándo hay que notificar?

Árbol de decisión

  1. ¿Es una brecha de datos? Si tienes dudas: sí.
  2. ¿Existe riesgo para los afectados? ¿Los datos son públicos? ¿Puede haber daños económicos? ¿Hay riesgo de suplantación de identidad?
  3. Riesgo bajo (p. ej., dispositivo cifrado extraviado): no es necesario notificar a la autoridad, pero sí registrarlo internamente en el registro de incidentes.
  4. Riesgo considerable: notificar a la autoridad competente en un plazo de 72 horas.
  5. Riesgo elevado para los afectados: informar también directamente a los afectados.

¿Qué se debe notificar?

  • Naturaleza de la brecha de datos.
  • Categorías y número de afectados.
  • Categorías y número de datos personales implicados.
  • Consecuencias de la brecha.
  • Medidas adoptadas o previstas.
  • Datos de contacto del DPO o persona responsable.

El reloj de las 72 horas

El plazo comienza desde el momento en que tuviste conocimiento del incidente, no desde que ocurrió. Los fines de semana cuentan. Se permite una notificación parcial con información adicional posterior.

¿Dónde se notifica?

autoriteitpersoonsgegevens.nl — formulario de notificación de brechas de datos en línea. Guarda una copia.

Qué hacer dentro de la organización

  • Equipo en acción: responsable de seguridad, dirección, comunicación.
  • Investigación: ¿qué ha ocurrido exactamente?
  • Contención: detén la filtración.
  • Documentación forense: evidencias para la investigación.
  • Preparar la comunicación: interna, externa, medios.

Ver también: cómo crear un registro de incidentes, respuesta ante incidentes.

Onderwerpen

#avg #datalek #incident #ap

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

Cumplimiento GDPR para pymes: el mínimo práctico

El GDPR no cuesta €10.000 ni exige un DPO hasta cierto tamaño. Esto es lo que toda pyme debe tener como mínimo — basado en lo que la autoridad supervisora realmente inspecciona.

2 min
AVG & privacy

Registro de direcciones IP bajo el GDPR: seudonimización, dato personal y qué está permitido

Una dirección IP es un dato personal según el GDPR. Los registros de seguridad suelen necesitarlos durante semanas o meses. ¿Cómo se concilia eso con los principios de conservación?

2 min
AVG & privacy

Plazos de conservación por categoría de datos en pymes

¿Cuánto tiempo conservas datos de clientes, candidatos, facturas o grabaciones CCTV? Aquí las categorías más importantes en una tabla resumen, con la fuente de cada plazo.

2 min
AVG & privacy

Consentimiento de marketing: email, WhatsApp, retargeting — ¿qué está permitido?

Tu newsletter, tus emails promocionales, tus píxeles de retargeting — todos necesitan una base de consentimiento. Aquí las reglas concretas por canal.

2 min
AVG & privacy

Derechos de los interesados: acceso, rectificación, supresión — un procedimiento que funciona

Un cliente quiere ver sus datos o directamente eliminarlos. Tienes 30 días. Aquí el procedimiento que funciona sin que una solicitud te cueste media semana.

2 min
AVG & privacy

Sub-encargados fuera de la UE: lo que la sentencia Schrems II sigue exigiendo

¿Usas AWS, Google o Microsoft? Entonces parte de tus datos pasa por EE. UU. Desde Schrems II eso ya no es algo que puedas dar por sentado. Aquí te explicamos qué funciona hoy.

2 min
← Alle artikelen in "AVG & privacy"