Notificación de brechas de datos personales a la Autoridad de Control

Última revisión

Una brecha de datos personales es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.

Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.

El artículo 33 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.

El responsable de tratamiento debe valorar el nivel de riesgo de una brecha de datos personales y notificarla a la autoridad de control cuando exista tal riesgo, y además cuando el riesgo sea alto el responsable también deberá comunicar la brecha a las personas afectadas conforme al artículo 34 del RGPD.

El plazo para notificar a la autoridad de control es de 72 horas desde que la organización tiene constancia de la brecha.

En el ámbito privado, los responsables del tratamiento afectados por una brecha de datos personales deberán notificar a la AEPD:

  • Cuando su único establecimiento esté localizado en España.
  • Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.
  • Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.
  • Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.

En el ámbito público, con carácter general las AAPP deben notificar las brechas de datos personales a la Agencia Española de Protección de Datos a excepción del caso de las Comunidades Autónomas de Andalucía, Cataluña y País Vasco, cuando las brechas de datos personales se produzcan en entidades del sector público bajo su competencia.

Las notificaciones de brechas de datos personales a la AEPD se deben realizar de forma electrónica, usando el formulario de notificación de brechas de datos personales de la Sede Electrónica para garantizar una correcta ejecución de las obligaciones del artículo 33.3 del RGPD.

La notificación a la autoridad de control de una brecha que afecta a datos personales forma parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo. De hecho, notificar en tiempo y forma es una evidencia de la diligencia de la organización, mientas que no cumplir con esa obligación si está tipificado como infracción.

Sin embargo, en aquellos casos en los que el responsable considere que no existieran riesgos para los derechos y libertades de las personas físicas el responsable tiene la obligación de documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD.

Con el objetivo de ayudar en la obligación de notificar las brechas de datos personales a la autoridad de control, la AEPD ofrece indicaciones en la Guía para la notificación de brechas de datos personales así como otros recursos en el apartado de innovación y tecnología.

 

Blog y Preguntas frecuentes (FAQs)

Blog de la AEPD - Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]

Blog de la AEPD - Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]

Blog de la AEPD -  Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]

Blog de la AEPD - Campañas de phishing sobre el COVID-19 [mar 2020]

Blog de la AEPD – Brechas de seguridad: comunicación a los interesados [feb 2020]

Blog de la AEPD – Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]

Blog de la AEPD – Brechas de seguridad de datos personales: qué son y cómo actuar [jun 2019]

Blog de la AEPD – Brechas de seguridad: protégete ante el ransomware [may 2019]

Blog de la AEPD – Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte [mar 2017]

Preguntas frecuentes (FAQs)

Guías y herramientas

Guía para la Gestión y Notificación de Brechas de Datos Personales

Guidelines 01/2021 on Examples regarding Data Breach Notification adoptadas el 14 de enero de 2021 (finalizando consulta pública).

Herramienta Comunica-Brecha RGPD

Cómo gestionar una fuga de información en un despacho de abogados

Formulario de notificación de brechas de seguridad

Sede Electrónica

Datos de notificaciones