Notificar o no notificar una brecha: esa no es la cuestión

Foto de  Fakhruddin Memon en Pixabay

En 2025 se recibieron en la Agencia más de 2.700 notificaciones de brechas de datos personales, poniendo de manifiesto una realidad que también muestra una tendencia creciente en este ámbito, y que nos lleva a concluir que la preocupación de las empresas por la ciberseguridad y la protección de los datos personales que deben custodiar está más que justificada.

Con carácter previo, se hace necesario recordar cuáles son las razones por las cuales el legislador establece una obligación de comunicar los incidentes graves a los CERT de referencia en base a la normativa de ciberseguridad; la de notificar la brecha de datos a la AEPD en aquellos supuestos en los que el incidente suponga una afectación de datos personales; y la de denunciar ante las fuerzas y cuerpos de seguridad cuando existan indicios de delito.

A la vista de la nueva normativa, hay que destacar que la tendencia es la de fomentar el intercambio de información entre los organismos involucrados en la gestión de brechas e incidentes, lo que debería evitar que en el seno interno de las empresas se abriera el debate sobre si notificar el incidente, pues más pronto que tarde trascenderá. 

Como decía, tanto en el caso de la ciberseguridad como en el de la protección de datos, la obligación de comunicación es exigible “sin dilación indebida”. Y aunque la norma imponga un plazo máximo de comunicación (que va desde las 24 horas hasta las 72 horas dependiendo de la normativa aplicable), es un error habitual creer que la notificación deba realizarse en el tiempo que marca la norma, y no antes. Ahora, la propuesta europea de Digital Omnibus amplia ese plazo a 96 horas.

La notificación, entre otros, tiene como objetivo que la autoridad competente tenga conocimiento de la existencia de una brecha de datos y que, en su caso, pueda informarse a las personas afectadas de cara a que adopten de forma rápida las medidas adecuadas para protegerse frente a eventuales efectos indeseados, tales como: intentos de fraude, suplantación de identidad, u otras amenazas que se perciben mayores cuando se piensa en términos de IA.

Así las cosas, se entiende fácilmente la lógica de la norma cuando prevé la obligación adicional para la organización afectada por un incidente grave de informar a la ciudadanía afectada por una filtración de información personal que, de conformidad con los artículos 33 y 34 del RGPD, pueda llegar a producirse.

En esta línea, los datos de la actividad de la AEPD de este año nos indican que las entidades han comunicado brechas a, aproximadamente, más de 200 millones de afectados, lo que supone un gran incremento con respecto al año previo.

Ante el riesgo -sobre todo económico y reputacional- que puede tener la publicación de un incidente de seguridad, muchas empresas siguen preguntándose por la conveniencia de notificar a la AEPD las eventuales brechas (de especial consideración) que puedan haber sufrido.

¿Está justificado ese temor empresarial a notificar las brechas a la vista de los datos de que disponemos?

La respuesta es que no.

De las notificaciones de brechas recibidas en estos últimos 12 meses en la Agencia, sólo 11 de ellas se han trasladado a la Subdirección General de Inspección de Datos para que se valore el inicio de un procedimiento de inspección, lo que supone, aproximadamente, un 2,5% de casos.

Las últimas resoluciones publicadas revelan que este traslado puede implicar la apertura de un procedimiento inspector cuando resulta acreditada la mala gestión de la brecha de datos personales y el bajo nivel de diligencia en la implementación de medidas de seguridad por parte de la organización notificante. Pero no que esa notificación comporte -automáticamente- una sanción de la Agencia.

Adicionalmente, no podemos olvidar que, tanto a nivel europeo como estatal, se sigue trabajando en una ventanilla única a través de la cual poder notificar incidentes de ciberseguridad. El objetivo es que, una vez comunicados, se distribuyan a las autoridades competentes de manera ordenada, para que procedan como corresponda.

Por último, otro elemento a tener en cuenta es el de la valoración interna sobre la necesidad de comunicar el incidente a las personas afectadas, en particular en aquellos casos en los que la entidad considere que el incidente no cumpla con el nivel de gravedad que exige la norma para poder activarse esa obligación de comunicación.

En conclusión, es importante dejar claros dos mensajes:

De un lado, que las entidades no deben tener miedo a notificar las brechas de datos. Es más, gracias a la notificación a la autoridad y a una buena comunicación, las entidades pueden prevenir y evitar un gran número de perjuicios a la ciudadanía, a la vez que se incrementa su nivel de cumplimiento y su responsabilidad social.

De otro lado, que la notificación y comunicación en tiempo y forma es una demostración de diligencia y cumplimiento del artículo 5.2 del RGPD, cuando regula la responsabilidad proactiva, que es uno de los elementos que se valora en el caso de una denuncia o reclamación de un interesado que sea remitida a la AEPD con relación a una brecha.