InicioBase de conocimientos › Notificar una brecha de datos en 72 horas
Brecha de datos

Notificar una brecha de datos en 72 horas: el plan de acción completo

· 8 min de lectura · DeSnipperaar

Un portátil robado, un correo enviado por error, una caja de archivo que desaparece en el camino, una base de datos hackeada. Una brecha de datos le puede ocurrir a cualquier organización, y el reloj corre desde el momento en que te enteras. El artículo 33 del RGPD da 72 horas para informar a la autoridad neerlandesa de protección de datos (AP). El artículo 34 trata de cuándo debes informar también a los afectados. Este artículo es un plan de acción operativo para los tres primeros días tras el descubrimiento.

Público objetivo: DPO, CISO, coordinadores de privacidad y todo aquel que se vea implicado directamente en los incidentes.

¿Qué es una brecha de datos según el RGPD?

El artículo 4, apartado 12, la define como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Eso significa que no todo incidente de seguridad de la información es automáticamente una brecha de datos. Tiene que haber datos personales en juego. Un ataque DDoS sin pérdida de datos no es una brecha de datos. Un portátil robado con datos cifrados y una contraseña fuerte es dudoso, pero a menudo no es una brecha de datos porque los datos son ilegibles.

Hora 0 a 4: detectar y aislar

  1. Recibe el aviso (de un empleado, cliente, proveedor, supervisor, medios).
  2. Anota el momento y la fuente. Esta es tu T-0.
  3. Activa el equipo de respuesta a incidentes (DPO, IT, comunicación, jurídico).
  4. Evalúa a grandes rasgos. ¿Hay datos personales implicados?
  5. Aísla la fuga. Bloquea cuentas, corta conexiones de red, precinta ubicaciones físicas.
  6. Conserva las pruebas. Haz copias o imágenes forenses en cuanto sea posible.
El reloj empieza con el «conocimiento», no con la «claridad total». Esperar a que todo esté claro es un error costoso.

Hora 4 a 24: determinar el impacto

  1. ¿Qué datos personales están implicados? ¿Nombres, direcciones, BSN, médicos, financieros?
  2. ¿Cuántos afectados? Estima a lo ancho al principio, afina después.
  3. ¿Qué categorías especiales (art. 9 del RGPD) se han visto afectadas?
  4. ¿Qué consecuencias son imaginables para los afectados? ¿Fraude de identidad, chantaje, discriminación, pérdida financiera, difamación?
  5. ¿Los datos están cifrados o protegidos de otro modo? Eso puede llevar a la conclusión de que no hace falta notificar.
  6. Informa a las partes interesadas internas (dirección, consejo de supervisión, auditoría).

Hora 24 a 48: decidir y redactar

Ahora llega la decisión clave. ¿Notificar o no a la AP?

  • No notificar: se permite si es improbable que la brecha entrañe un riesgo para los derechos y libertades de los afectados. Documenta esta valoración por escrito en el registro de actividades de tratamiento (art. 33, apartado 5, del RGPD). En caso de duda, notifica.
  • Sí notificar: a la autoridad neerlandesa de protección de datos a través de autoriteitpersoonsgegevens.nl. Formulario digital.

En la notificación indicas:

  1. Naturaleza de la brecha (robo, envío, hackeo, pérdida)
  2. Categorías y número de afectados
  3. Categorías y número de datos personales
  4. Consecuencias probables
  5. Medidas adoptadas
  6. Datos de contacto del DPO o responsable

¿Aún no tienes toda la información lista? Se permite. Haces una notificación por fases. Primera notificación con la información disponible dentro de las 72 horas, complementos más tarde. Eso está expresamente permitido en el art. 33, apartado 4, del RGPD.

Informar a los afectados, ¿cuándo?

El artículo 34 te obliga a informar a los afectados si la brecha entraña un alto riesgo. En la práctica eso significa:

  • Si hay BSN, documentos de identidad o datos de tarjetas de crédito implicados: sí.
  • Si hay datos médicos o financieros implicados: sí.
  • Solo direcciones de correo sin contraseñas y sin contexto sensible: a menudo no.
  • Datos cifrados con clave desconocida: a menudo no.

La información a los afectados incluye: naturaleza de la brecha, consecuencias previsibles, medidas que tomas, persona de contacto, consejo al afectado (por ejemplo, cambiar contraseñas, avisar al banco).

Hora 48 a 72: presentar y comunicar

  1. Presentar la notificación ante la AP.
  2. Si es necesario, informar a los afectados por carta, correo o publicación.
  3. Comunicación interna. Qué pueden y qué no pueden compartir los empleados.
  4. Coordinación con los encargados del tratamiento implicados en la brecha. Comprobar la responsabilidad en el contrato de encargado del tratamiento.
  5. Preparación ante una posible atención mediática.
  6. Mantener un registro de todas las decisiones y acciones.

¿Brecha de datos por archivos extraviados o transporte sin protección?

Vamos en 24 horas con una trituradora móvil y evitamos una segunda brecha. Toda la destrucción in situ, con certificado por encargo para tu expediente del RGPD.

Solicita un presupuesto

Después de la hora 72: seguimiento y aprendizaje

Una notificación de brecha de datos no es un punto final. La AP puede formular preguntas adicionales, iniciar una investigación, imponer sanciones. Asegúrate de:

  • Tener un informe de impacto listo para uso interno en un plazo de 7 días
  • Hacer un análisis de causa raíz en un plazo de 30 días
  • Implementar en un plazo de 60 días medidas que eviten la repetición
  • Añadir el incidente a tu registro de actividades de tratamiento e incluirlo en tu archivo listo para auditoría como anexo de «incidente»

Escenarios concretos en torno a la destrucción

Las brechas de datos por una destrucción deficiente ocurren con regularidad:

Cajas con papel junto al papel viejo

Un empleado deja por error cajas de archivo junto al contenedor de papel. En cuanto alguien recupera datos legibles, es una brecha de datos. Acción inmediata: intentar recuperar las cajas, analizar el incidente, notificar, endurecer la política.

Portátil sin cifrar robado

Portátil con datos de empresa sin cifrar. Es una brecha salvo que pueda probarse que el ladrón no obtuvo acceso (algo raro). Notifica e informa a los afectados.

Contenedor de destrucción extraviado durante el transporte

Un contenedor sin precintar desaparece en el camino entre el cliente y la planta central de trituración. En ese caso pide números de precinto en el certificado de destrucción. Es una brecha. Por eso aboga por la destrucción móvil. Así nada abandona el edificio antes de quedar destruido. Consulta destrucción móvil frente a externa.

Memoria USB olvidada

Una memoria con datos de clientes en un taxi, un restaurante, un tren. Salvo que esté cifrada, es una brecha. Consulta nuestro artículo sobre cómo eliminar USB y SD de forma segura.

Punto de notificación interno y manual de actuación

Una organización sin manual de actuación pierde horas en la primera fase. Recomendaciones:

  1. Una dirección de correo como datalek@tuempresa.nl, monitorizada 24/7.
  2. Un manual con roles, números de teléfono y vías de escalado.
  3. Una plantilla de notificación para la AP con campos fijos.
  4. Un plan de comunicación hacia los afectados y los medios.
  5. Un simulacro anual de un incidente ficticio.

Riesgo de sanción

La AP ha impuesto en varias ocasiones sanciones de entre 500.000 y 1 millón de euros por notificación tardía o por la brecha en sí. En 2020 Booking.com fue sancionada con 475.000 euros porque un incidente se notificó solo tras 22 días. El reproche principal fue no haber cumplido el plazo de 72 horas. La lección. Mejor notificar demasiado pronto que demasiado tarde.

¿Evitar una brecha mediante destrucción in situ? Llámanos o solicita un presupuesto en desnipperaar.nl. Estamos disponibles 24/7 para encargos urgentes.