🚨 Guía de Brechas de Seguridad RGPD: Protocolo de Actuación en 72 Horas
Protocolo completo paso a paso para detectar, contener, evaluar y notificar incidentes de seguridad. Cronología detallada, plantillas oficiales y checklist interactivo
📑 Índice Rápido de Actuación
¿Qué es una Brecha de Seguridad según el RGPD?
Una brecha de seguridad de datos personales (también llamada incidente de seguridad) es cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma.
Las empresas DEBEN notificar las brechas de seguridad a la autoridad de control (AEPD en España) en un plazo máximo de 72 horas desde que tuvieron conocimiento del incidente, salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas.
Elementos Clave de una Brecha
Datos Afectados
Debe implicar datos personales, es decir, información que identifique o haga identificable a personas físicas. Si solo afecta a datos anonimizados correctamente, NO es una brecha RGPD.
Violación de Seguridad
Incidente que compromete la confidencialidad, integridad o disponibilidad de los datos personales, ya sea accidental (error humano, fallo técnico) o ilícito (ciberataque, robo).
Riesgo para Derechos
Potencial de causar daños físicos, materiales o inmateriales a las personas: discriminación, suplantación de identidad, pérdidas económicas, daño reputacional, pérdida de confidencialidad.
¿Qué NO es una Brecha?
- ❌ Datos anonimizados: Si los datos están correctamente anonimizados (no identificables), no aplica RGPD
- ❌ Solo datos corporativos: Incidente que afecta únicamente información empresarial sin datos personales
- ❌ Acceso autorizado: Empleado con permisos legítimos consulta datos (aunque luego los use indebidamente, eso es otro tipo de infracción)
- ❌ Incidentes sin impacto: Intento de ataque bloqueado que no llegó a comprometer datos
Tipos de Brechas de Seguridad
El RGPD clasifica las **brechas de seguridad** en tres categorías según qué aspecto de la seguridad se ve comprometido. Una misma brecha puede afectar a varias categorías simultáneamente.
Definición:
Divulgación o acceso no autorizado a datos personales. La información llega a personas que no deberían tener acceso.
Ejemplos Comunes:
- 🎯 Ciberataque con exfiltración de datos: Hackers acceden a la base de datos y descargan información de clientes
- 📧 Email enviado a destinatarios incorrectos: Newsletter con datos personales enviada masivamente sin CCO
- 🗑️ Documentos no destruidos correctamente: Papeles con datos personales tirados a la basura sin triturar
- 💻 Robo de dispositivos: Ordenador portátil o USB sin cifrar robado con datos de empleados/clientes
- 👥 Acceso interno no autorizado: Empleado consulta expedientes sin necesidad legítima (ej: sanitario curioso)
- 🌐 Publicación accidental online: Archivo con datos personales subido por error a web pública o servidor mal configurado
Nivel de Riesgo:
ALTO - Especialmente si incluye categorías especiales (salud, orientación sexual, datos biométricos) o datos financieros. Requiere notificación inmediata.
Medidas Preventivas:
- ✅ Cifrado de datos en reposo y en tránsito
- ✅ Control de acceso basado en roles (RBAC)
- ✅ Autenticación multifactor (MFA)
- ✅ Software DLP para prevenir fugas
- ✅ Formación continua de empleados
Definición:
Alteración no autorizada o accidental de datos personales. La información es modificada, distorsionada o corrompida sin permiso.
Ejemplos Comunes:
- 🦠 Malware que corrompe archivos: Virus modifica registros de base de datos
- 🔧 Error humano en modificación: Empleado actualiza datos de cliente equivocado por confusión
- 🔐 Ransomware que cifra datos: Ataque que bloquea acceso y modifica archivos
- ⚙️ Fallo técnico: Error de software que sobrescribe datos personales incorrectamente
- 👤 Manipulación maliciosa: Empleado desleal modifica información para beneficio propio o perjudicar
Nivel de Riesgo:
MEDIO-ALTO - Puede causar decisiones erróneas basadas en datos incorrectos (ej: historial médico alterado, scoring crediticio manipulado).
Consecuencias Potenciales:
- ❌ Decisiones basadas en información falsa
- ❌ Pérdida de confianza en los datos
- ❌ Problemas legales si se actúa sobre datos erróneos
- ❌ Daño a la reputación de afectados
Medidas Preventivas:
- ✅ Backups regulares y verificados
- ✅ Control de versiones
- ✅ Logs de auditoría (quién modificó qué y cuándo)
- ✅ Validación de datos en entrada
- ✅ Segregación de funciones (quien introduce datos ≠ quien aprueba)
Definición:
Pérdida o destrucción de datos personales, o imposibilidad de acceder a ellos cuando se necesitan. Los datos existen pero no se pueden recuperar o utilizar.
Ejemplos Comunes:
- 🔥 Destrucción física: Incendio, inundación o desastre natural que destruye servidores
- 💾 Fallo de hardware: Disco duro que se daña sin backups funcionales
- 🗑️ Eliminación accidental: Empleado borra carpeta o base de datos por error
- 🔐 Ransomware exitoso: Datos cifrados y sin posibilidad de recuperación (no pagaron rescate o no entregaron clave)
- ⚡ Ataque DDoS: Denegación de servicio que impide acceso a sistemas con datos personales
- ☁️ Fallo de proveedor cloud: Servicio en la nube que pierde datos por error técnico
Nivel de Riesgo:
VARIABLE - Depende de si los datos son recuperables y cuánto tiempo están inaccesibles. Puede ser CRÍTICO si son datos médicos urgentes o información esencial para operaciones.
Impacto en el Negocio:
- ⛔ Imposibilidad de atender a clientes
- ⛔ Incumplimiento de obligaciones legales (ej: imposibilidad de atender derechos ARCO)
- ⛔ Paralización de operaciones
- ⛔ Pérdida permanente de información histórica
Medidas Preventivas:
- ✅ Regla 3-2-1: 3 copias, 2 medios diferentes, 1 offsite
- ✅ Backups automáticos diarios verificados
- ✅ Plan de continuidad de negocio (BCP)
- ✅ Plan de recuperación ante desastres (DRP)
- ✅ Redundancia de servidores/sistemas críticos
- ✅ Contratos con SLA exigentes con proveedores
Severidad de las Brechas
| Nivel | Riesgo | ¿Notificar AEPD? | ¿Notificar Afectados? | Ejemplo |
|---|---|---|---|---|
| Bajo | Improbable que cause daños a personas | NO obligatorio | NO | Pérdida de datos cifrados con clave fuerte sin copia externa |
| Medio | Probable que cause daños limitados | SÍ (72h) | Evaluar caso a caso | Acceso interno no autorizado a datos laborales de 50 empleados |
| Alto | Probable que cause daños significativos | SÍ (inmediato) | SÍ (sin demora indebida) | Fuga de historiales médicos de 10.000 pacientes con VIH |
Cronología de Actuación: Las Primeras 72 Horas
El protocolo de respuesta a brechas de seguridad debe ser rápido, ordenado y documentado. A continuación, te presentamos la **cronología paso a paso** de qué hacer desde el minuto cero hasta las 72 horas.
El plazo de 72 horas comienza a contar desde que el responsable o encargado del tratamiento tiene conocimiento de la brecha, NO desde que ocurrió. Por eso es vital tener sistemas de detección rápida.
🔍 Detectar y Alertar
- Detectar el incidente: A través de sistemas de monitorización, alertas automáticas, empleados o terceros
- Registrar fecha/hora exacta: Anotar cuándo se detectó (inicio del plazo de 72h)
- Activar protocolo de respuesta: Avisar al responsable de seguridad, DPO y equipo de crisis
- NO tocar nada aún: Preservar evidencias para análisis forense posterior
Responsables: Empleado que detecta + Departamento IT + DPO
🛡️ Contener y Analizar
- Contener la brecha: Aislar sistemas afectados, cambiar credenciales comprometidas, bloquear accesos
- Identificar datos afectados: ¿Qué datos? ¿Cuántos afectados? ¿Categorías especiales?
- Determinar causa: ¿Ciberataque? ¿Error humano? ¿Fallo técnico?
- Evaluar si es notificable: Aplicar criterios de riesgo (ver tabla anterior)
- Documentar todo: Crear registro interno detallado con cronología, evidencias, capturas de pantalla
Responsables: Equipo técnico + DPO + Asesor legal
📊 Análisis en Profundidad
- Cuantificar afectados: Número exacto o estimado de personas
- Evaluar riesgo real: ¿Alto, medio o bajo? Considerar: tipo de datos, número afectados, probabilidad de uso indebido
- Identificar consecuencias potenciales: Fraude, discriminación, daño reputacional, pérdidas económicas
- Decidir notificaciones: ¿AEPD sí/no? ¿Afectados sí/no?
- Preparar comunicaciones: Redactar borrador de notificación a AEPD y afectados
- Informar a dirección: Briefing ejecutivo con situación, riesgos, plan de acción
Responsables: DPO + Dirección + Comunicación + Legal
📝 Redactar Documentación Oficial
- Completar formulario AEPD: Notificación de brecha
- Recopilar toda la información: Naturaleza de la brecha, categorías de datos, número aproximado de afectados, consecuencias, medidas adoptadas
- Preparar comunicación a afectados: Redacción clara, transparente, sin tecnicismos
- Coordinar con encargados: Si el incidente involucra a proveedores, coordinar respuesta
- Revisión legal: Validar que toda la documentación es correcta y completa
Responsables: DPO + Asesor legal + Equipo de comunicación
📤 Enviar Notificaciones
- Notificar a la AEPD: A través de la Sede Electrónica antes de cumplirse 72h
- Si 72h se cumplen antes: Notificar lo antes posible indicando motivo del retraso
- Notificar a afectados (si procede): Email, carta certificada o publicación según número y gravedad
- Archivar comprobantes: Guardar acuse de recibo de notificaciones
- Actualizar registro interno: Documentar fecha y hora de notificaciones
Responsables: DPO + Dirección
🔄 Aprendizaje y Mejora
- Implementar medidas correctivas: Parchar vulnerabilidades, reforzar seguridad
- Investigación forense completa: Análisis técnico detallado de la causa raíz
- Actualizar el registro de brechas: Documentación final con lecciones aprendidas
- Formación de empleados: Sesión específica sobre el incidente para prevenir recurrencia
- Revisar y actualizar protocolos: Mejorar el plan de respuesta a incidentes
- Cooperar con AEPD: Responder a cualquier solicitud de información adicional
Responsables: Todo el equipo de cumplimiento
Si es imposible reunir toda la información en 72h, la notificación puede hacerse en fases: primero una notificación inicial indicando que se está investigando, y posteriormente notificaciones complementarias cuando se tenga más información. Pero la primera notificación DEBE hacerse dentro de las 72h.
Cómo Notificar una Brecha a la AEPD
La notificación de brechas de seguridad a la Agencia Española de Protección de Datos se realiza exclusivamente a través de su Sede Electrónica, utilizando certificado digital.
¿Cuándo es Obligatorio Notificar?
SÍ Notificar
- Brecha con riesgo para derechos/libertades
- Pérdida de control sobre datos personales
- Acceso no autorizado a datos
- Cualquier duda razonable
- Datos de categorías especiales afectados
- Gran volumen de afectados
NO Notificar
- Riesgo improbable para personas
- Datos cifrados con clave robusta sin copia
- Incidente bloqueado antes de acceso
- Medidas técnicas impiden riesgo
- Solo datos anonimizados
Aun así, documenta internamente la decisión de no notificar
Información Requerida en la Notificación
- ✓ Naturaleza: Tipo de brecha (confidencialidad, integridad, disponibilidad)
- ✓ Fecha y hora: Cuándo ocurrió y cuándo se detectó
- ✓ Causa: Origen del incidente (ciberataque, error humano, fallo técnico...)
- ✓ Circunstancias: Descripción detallada de qué sucedió
- ✓ Estado actual: Si está contenida, en curso o resuelta
- ✓ Tipo de datos afectados: Datos identificativos, financieros, sanitarios, categorías especiales...
- ✓ Número aproximado de afectados: Personas físicas cuyos datos se vieron comprometidos
- ✓ Número de registros afectados: Si distinto del número de personas
- ✓ Origen de los datos: Clientes, empleados, pacientes, usuarios...
- ✓ Riesgos identificados: Fraude, suplantación, discriminación, daño reputacional...
- ✓ Evaluación de gravedad: Bajo, medio o alto impacto
- ✓ Efectos en derechos/libertades: Cómo puede afectar a las personas
- ✓ Daños materiales/inmateriales: Pérdidas económicas, angustia psicológica...
- ✓ Medidas de contención: Qué se hizo para detener la brecha
- ✓ Medidas de mitigación: Acciones para reducir el impacto en afectados
- ✓ Medidas correctivas: Qué se implementó para evitar recurrencia
- ✓ Asistencia a afectados: Línea de atención, monitorización de crédito, cambio de credenciales...
- ✓ Nombre completo del Delegado de Protección de Datos
- ✓ Email de contacto
- ✓ Teléfono
- ✓ Si no hay DPO: datos del responsable designado para el incidente
¿Cuándo Notificar También a los Afectados?
| Situación | ¿Notificar Afectados? | Plazo |
|---|---|---|
| Riesgo alto para derechos y libertades | SÍ obligatorio | Sin demora indebida |
| Riesgo medio/bajo pero recomendable transparencia | Valorar según caso | Lo antes posible |
| Medidas técnicas que impiden riesgo (ej: cifrado fuerte) | NO necesario | - |
| Medidas posteriores que eliminan riesgo | NO necesario | - |
| Esfuerzo desproporcionado para contactar individualmente | Comunicación pública | Igualmente eficaz |
Aunque no sea obligatorio notificar a los afectados, hacerlo de forma proactiva y transparente puede mejorar la percepción pública, demostrar responsabilidad y reducir daños reputacionales. La comunicación honesta suele ser mejor recibida que el silencio.
Plantillas de Notificación
A continuación, te ofrecemos **plantillas adaptables** para notificar brechas de seguridad tanto a la AEPD como a los afectados. Recuerda personalizarlas según tu caso específico.
Plantilla 1: Notificación a la AEPD (Resumen)
Plantilla 2: Comunicación a Afectados
Plantilla 3: Registro Interno de Brechas
El registro interno de brechas debe conservarse para demostrar cumplimiento ante posibles inspecciones de la AEPD. Recomendación: mantenerlo durante al menos 5 años desde cada incidente.
Casos Reales de Brechas en España
Analizamos **casos reales** de empresas españolas que sufrieron brechas de seguridad, cómo las gestionaron y qué consecuencias tuvieron. Aprender de errores ajenos es la mejor prevención.
¿Qué pasó?
En 2023, una importante operadora española sufrió un ciberataque que comprometió datos personales de más de 500.000 clientes, incluyendo nombres, DNI, direcciones, números de teléfono y en algunos casos, datos bancarios.
¿Cómo actuaron?
- ✅ Detectaron el ataque en menos de 6 horas
- ✅ Contuvieron la brecha inmediatamente aislando sistemas
- ✅ Notificaron a la AEPD en 48 horas
- ✅ Comunicaron a afectados mediante email y publicación en web
- ✅ Ofrecieron servicio gratuito de monitorización de crédito durante 1 año
- ✅ Contrataron firma de ciberseguridad para auditoría completa
Consecuencia:
A pesar de la buena gestión, la AEPD impuso una sanción de 600.000€ por medidas de seguridad insuficientes previas al incidente (no tenían MFA implementado, contraseñas débiles).
¿Qué pasó?
En 2022, un hospital privado sufrió un ataque de ransomware que cifró historiales médicos de 15.000 pacientes, dejándolos inaccesibles durante 5 días. Los atacantes exigieron 200.000€ en Bitcoin.
¿Cómo actuaron?
- ❌ NO notificaron en 72h (esperaron a evaluar si pagarían rescate)
- ❌ No tenían backups funcionales (estaban en el mismo servidor cifrado)
- ✅ Finalmente NO pagaron y recuperaron datos de backup parcial
- ✅ Notificaron a AEPD en el día 7 (tarde)
- ❌ NO comunicaron a afectados inicialmente
Consecuencia:
Sanción de 450.000€ por: (1) No notificar en plazo, (2) Medidas de seguridad insuficientes (sin backups aislados), (3) No comunicar a afectados siendo datos de salud (categoría especial).
¿Qué pasó?
Una tienda online con 2.000 clientes envió por error una newsletter con una hoja de cálculo adjunta que contenía nombres, emails y direcciones de todos sus clientes. Un empleado se equivocó al adjuntar el archivo.
¿Cómo actuaron?
- ✅ Detectaron el error en 30 minutos (cliente les avisó)
- ✅ Enviaron email de retractación pidiendo eliminar el archivo
- ✅ Notificaron a AEPD en 24 horas
- ✅ Enviaron email de disculpa a todos los afectados
- ✅ Implementaron doble verificación para envíos masivos
Consecuencia:
La AEPD consideró que hubo transparencia y buena fe, los datos no eran sensibles y se actuó rápido. Resultado: apercibimiento (no sanción económica) y obligación de implementar medidas correctivas.
¿Qué pasó?
Una gestoría sufrió un robo físico: entraron a la oficina y robaron un portátil que contenía datos de nóminas de 50 empresas cliente (datos laborales y bancarios de ~500 trabajadores). El portátil tenía cifrado de disco completo.
¿Cómo actuaron?
- ✅ Denunciaron a Policía inmediatamente
- ✅ Evaluaron riesgo: datos inaccesibles por cifrado fuerte
- ✅ Notificaron a AEPD en 48h explicando cifrado
- ✅ Informaron a clientes (empresas) pero NO a trabajadores individuales
- ✅ Cambiaron todas las contraseñas corporativas por precaución
Consecuencia:
La AEPD archivó el caso sin sanción porque el cifrado hacía improbable el acceso a los datos. Consideraron que las medidas técnicas preventivas eran adecuadas.
Prevención: Cómo Evitar Brechas de Seguridad
La mejor estrategia frente a las **brechas de seguridad** es la **prevención**. Invertir en medidas preventivas es siempre más económico que gestionar un incidente y pagar sanciones.
Medidas Técnicas Imprescindibles
Cifrado de Datos
- Cifrado en reposo (bases de datos, archivos)
- Cifrado en tránsito (HTTPS, VPN, TLS)
- Cifrado de dispositivos móviles
- Cifrado de backups
Gestión de Accesos
- Principio de mínimo privilegio
- Autenticación multifactor (MFA)
- Contraseñas robustas + gestores
- Revocación inmediata al cesar empleados
Backups Seguros
- Regla 3-2-1 (3 copias, 2 medios, 1 offsite)
- Backups automáticos diarios
- Verificación periódica de restauración
- Aislamiento de red (air-gap)
Monitorización 24/7
- SIEM para detección de anomalías
- Alertas automáticas de accesos sospechosos
- Logs de auditoría completos
- Revisión periódica de logs
Actualizaciones
- Parches de seguridad inmediatos
- Actualizaciones automáticas activadas
- Gestión de vulnerabilidades
- Inventario de software actualizado
Formación Continua
- Concienciación en ciberseguridad
- Simulacros de phishing
- Capacitación en RGPD
- Protocolo de reporte de incidentes
Software DLP: Tu Escudo Contra Fugas de Datos
Un Software DLP (Data Loss Prevention) es una herramienta fundamental para prevenir brechas de confidencialidad. Monitoriza, detecta y bloquea la transmisión no autorizada de datos sensibles.
- ✓ Identifica automáticamente datos personales sensibles (DNI, tarjetas, historiales médicos...)
- ✓ Monitoriza emails, transferencias de archivos, USBs, impresiones, cloud
- ✓ Bloquea envíos no autorizados (ej: email masivo con datos sin cifrar)
- ✓ Genera alertas en tiempo real ante comportamientos sospechosos
- ✓ Cifra automáticamente archivos sensibles
- ✓ Audita quién accede a qué datos y cuándo
DLP en Email
Evita que empleados envíen datos personales por error o de forma maliciosa. Escanea adjuntos y contenido del mensaje.
Ejemplo: Bloquea el envío de un Excel con 10.000 DNIs sin autorización.
DLP en Cloud
Controla qué se sube a Dropbox, Google Drive, OneDrive. Previene fugas accidentales o intencionales a servicios cloud no autorizados.
Ejemplo: Alerta si alguien intenta subir base de datos de clientes a Drive personal.
DLP en Endpoints
Protege portátiles y ordenadores de sobremesa. Controla USB, impresoras, capturas de pantalla.
Ejemplo: Impide copiar archivos con datos personales a USB no cifrado.
🛡️ Protege tu Empresa con Software DLP
Implementa soluciones de prevención de pérdida de datos adaptadas a tu sector y tamaño de empresa. Evita brechas antes de que ocurran.
Checklist Interactivo: Protocolo Hora por Hora
Utiliza este checklist interactivo para asegurarte de no olvidar ningún paso crítico durante la gestión de una brecha de seguridad. Marca cada tarea a medida que la completes.
Cada segundo cuenta. Imprime este checklist y tenlo en lugar visible. En caso de brecha, activa el protocolo inmediatamente.
Registrar fecha, hora exacta y circunstancias del descubrimiento
Notificar a DPO, responsable de IT y dirección
Capturas de pantalla, logs, no modificar sistemas afectados
Abrir expediente numerado con toda la información disponible
Aislar sistemas, bloquear accesos, cambiar credenciales comprometidas
Qué datos, cuántos registros, categorías especiales incluidas
Ciberataque, error humano, fallo técnico, otra
Aplicar test de riesgo: ¿probabilidad de daño a personas?
Si proveedores cloud u otros están implicados, avisarles
Realizar consultas a bases de datos para obtener cifra precisa
Documentar probabilidad e impacto de cada consecuencia potencial
AEPD: SÍ/NO. Afectados: SÍ/NO/PENDIENTE
Redactar notificación AEPD y email a afectados (si procede)
Informe ejecutivo: situación, riesgos, costes, plan acción
En casos complejos, buscar apoyo de abogados especializados
Acceder a Sede Electrónica y rellenar todos los campos obligatorios
Informe técnico, evidencias, análisis forense, capturas
Versión final del email/carta con lenguaje claro y accesible
Habilitar email/teléfono específico para dudas de afectados
Validar que toda documentación cumple requisitos legales
Antes de las 72h desde conocimiento del incidente
Descargar y archivar comprobante oficial de notificación
Email masivo, cartas certificadas o publicación web según caso
Documentar fechas, horas, destinatarios, método de envío
Sección en web con preguntas frecuentes y medidas adoptadas
Parchar vulnerabilidades, reforzar controles afectados
Investigación técnica profunda de causa raíz y alcance real
Informe post-mortem: qué falló, qué funcionó, qué mejorar
Mejorar protocolos basándose en experiencia real
Sesión de concienciación para prevenir recurrencia
Responder emails/llamadas con información clara y empática
Responder solicitudes adicionales de información sin demora
Si no se tiene, valorar póliza para futuros incidentes
Contratar auditoría externa para identificar vulnerabilidades restantes
Archivar toda la documentación del incidente en registro de brechas
Tu progreso en el protocolo de respuesta
🚨 ¿Necesitas Ayuda para Gestionar una Brecha de Seguridad?
En kumplir.es somos especialistas en respuesta a incidentes RGPD. Te ayudamos a cumplir el protocolo de 72 horas, notificar correctamente a la AEPD y minimizar sanciones.
✅ Te Ayudamos Con:
- 🚨 Respuesta inmediata ante brechas de seguridad 24/7
- 📋 Preparación y envío de notificaciones a AEPD
- 📧 Redacción de comunicaciones a afectados
- 🔍 Análisis forense y evaluación de impacto
- 🛡️ Implementación de medidas correctivas
- 📚 Elaboración de planes de respuesta a incidentes
- 🎓 Formación de equipos en gestión de brechas
- 🔐 Implementación de Software DLP preventivo
- ⚖️ Asesoramiento legal ante procedimientos sancionadores
- 📊 Auditorías de vulnerabilidades post-incidente