Notificación de violaciones de datos del RGPD: cronograma y pasos

Cuando se produce una violación de datos personales, el RGPD le da 72 horas para notificar a su autoridad de control. No 72 horas laborables — 72 horas reales, fines de semana y festivos incluidos. Eso es desde el momento en que “tiene conocimiento” de la violación, que el Comité Europeo de Protección de Datos define como cuando tiene un grado razonable de certeza de que un incidente de seguridad ha comprometido datos personales.

Este no es un plazo generoso. Significa que su proceso de respuesta ante violaciones no puede empezar con “averigüemos quién se encarga de esto” o “programemos una reunión para el lunes”. Necesita ser un manual bien ensayado que su equipo pueda ejecutar bajo presión, a cualquier hora, con roles claros y canales de comunicación predefinidos.

Esta guía cubre los requisitos legales, los pasos prácticos y la documentación que las empresas SaaS necesitan tener preparados antes de que ocurra una violación.

¿Qué se considera una violación de datos personales?

El RGPD define una violación de datos personales como “una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos”. Esto es más amplio de lo que la mayoría de la gente supone. No se limita a incidentes de piratería informática o ataques externos.

Violaciones de confidencialidad — Acceso o divulgación no autorizados de datos personales. Un empleado que accede a registros de clientes sin una justificación empresarial. Un correo electrónico con datos personales enviado al destinatario equivocado. Un endpoint de API mal configurado que expone datos de usuarios.

Violaciones de integridad — Alteración no autorizada de datos personales. Una corrupción de base de datos que modifica registros de clientes. Un error de software que sobrescribe la configuración de un usuario con la de otro.

Violaciones de disponibilidad — Pérdida de acceso a datos personales. Un ataque de ransomware que cifra su base de datos. Una migración fallida que hace que los datos de clientes sean inaccesibles durante un período prolongado. Una avería de hardware que destruye las copias de seguridad.

No todo incidente de seguridad es una violación de datos personales. Un ataque DDoS que causa tiempo de inactividad pero no afecta a los datos personales no es una violación. Un intento fallido de inicio de sesión no es una violación. Pero la línea puede ser sutil — si un ataque DDoS causa la caída de sus sistemas de monitorización, y durante esa ventana un acceso no autorizado pasa desapercibido, puede que tenga una violación entre manos.

El marco de notificación

El RGPD crea un sistema de notificación de dos niveles. No todas las violaciones desencadenan ambos niveles.

Nivel 1: Notificar a la autoridad de control (artículo 33)

Cuándo es necesario: Para cualquier violación de datos personales, a menos que sea “improbable que entrañe un riesgo para los derechos y libertades de las personas físicas”.

En la práctica: El umbral es bajo. Si los datos personales fueron expuestos, accedidos o perdidos, y existe cualquier escenario realista donde un interesado pudiera verse perjudicado (robo de identidad, discriminación, pérdida financiera, daño reputacional, pérdida de confidencialidad), necesita notificar. Lo predeterminado debería ser notificar; solo omita la notificación cuando pueda demostrar genuinamente un riesgo mínimo.

Plazo: Dentro de las 72 horas desde que tuvo conocimiento de la violación. Si no puede proporcionar todos los detalles dentro de las 72 horas (lo cual es habitual en incidentes complejos), puede presentar una notificación inicial y completar con información adicional en fases.

Qué incluir en la notificación:

La naturaleza de la violación, incluyendo el número aproximado de interesados y registros de datos afectados
El nombre y los datos de contacto de su DPD u otro punto de contacto
Una descripción de las consecuencias probables de la violación
Una descripción de las medidas adoptadas o propuestas para abordar la violación, incluidas las medidas de mitigación

Cómo notificar: Cada autoridad de protección de datos de los Estados miembros de la UE tiene su propio mecanismo de notificación — típicamente un formulario en línea en el sitio web de la autoridad. Si opera en varios Estados miembros, notifique a la autoridad del país donde se encuentra su establecimiento principal. Si no está seguro de a qué autoridad contactar, notifique a la del país donde se encuentren más interesados afectados.

Nivel 2: Notificar a los interesados afectados (artículo 34)

Cuándo es necesario: Cuando la violación sea “probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas”. Este es un umbral más alto que el Nivel 1. No toda violación reportada a la autoridad requiere notificación individual.

Los escenarios de alto riesgo incluyen:

Exposición de datos financieros (datos bancarios, números de tarjetas de pago)
Exposición de credenciales de autenticación (contraseñas, preguntas de seguridad)
Exposición de documentos de identidad o números de identificación nacional
Exposición de datos de salud o datos biométricos
Exposición de datos que podrían conducir a discriminación (datos raciales, políticos, religiosos)
Exposición a gran escala de datos que, en combinación, permiten el robo de identidad

No necesita notificar a los interesados si:

Tenía implementadas medidas de cifrado u otras protecciones apropiadas que hacen los datos ininteligibles (por ejemplo, los datos violados estaban cifrados con una clave que no fue comprometida)
Ha adoptado medidas posteriores que garantizan que el alto riesgo ya no es probable que se materialice
La notificación individual supondría un esfuerzo desproporcionado (en cuyo caso, realice una comunicación pública en su lugar)

Qué incluir: La notificación debe usar un lenguaje claro y sencillo e incluir:

La naturaleza de la violación
Los datos de contacto del DPD o punto de contacto
Las consecuencias probables
Las medidas adoptadas o propuestas, incluidos los pasos que el interesado puede tomar para protegerse

Elaborar un plan de respuesta ante violaciones

El reloj de 72 horas hace que la preparación previa sea esencial. Así es como debe estructurar su plan de respuesta ante violaciones:

Definir roles y responsabilidades

Coordinador de la violación: Una persona designada (típicamente el DPD, el CISO o el Responsable de Seguridad) que es propietaria del proceso de respuesta desde la detección hasta la resolución.

Equipo de respuesta a incidentes: Defina quién necesita estar involucrado:

Equipo de seguridad/ingeniería (investigación y contención)
Asesoría legal (obligaciones de notificación, evaluación de responsabilidad)
Comunicaciones (notificaciones a interesados, declaraciones públicas)
Dirección (decisiones estratégicas, asignación de recursos)
Éxito del cliente (si los datos del cliente se ven afectados)

Rutas de escalado: Defina cómo contactar a cada miembro del equipo fuera del horario laboral. Una violación a las 11 de la noche del viernes no puede esperar hasta la reunión del lunes.

Establecer canales de detección y reporte

Reporte interno: Cada empleado debe saber cómo reportar una sospecha de violación. Cree un canal dedicado — un canal de Slack, un alias de correo electrónico o un formulario de gestión de incidentes — y asegúrese de que se monitorice continuamente.

Reporte externo: Sus proveedores y encargados deben notificarle con prontitud cuando experimenten una violación que afecte a sus datos. Revise sus DPA para asegurarse de que las cláusulas de notificación de violaciones incluyan plazos específicos.

Detección automatizada: Implemente monitorización de patrones de acceso anómalos, exportaciones de datos inusuales, picos de autenticación fallida y cambios de configuración no autorizados.

Crear plantillas de respuesta

Prepare plantillas con antelación para:

Notificación a la autoridad de control (siguiendo el formato del formulario de la autoridad)
Correo electrónico de notificación al interesado (lenguaje sencillo, sin jerga)
Formato de actualización de estado interno
Comunicado de prensa (para violaciones de alto perfil)

Redáctelas cuando esté tranquilo y pueda pensar con claridad — no durante el caos de un incidente activo.

Practicar el proceso

Realice ejercicios de simulación al menos anualmente. Presente un escenario de violación realista y repase el proceso de respuesta:

¿A quién se notifica primero?
¿Cómo evalúa el alcance?
¿Quién redacta la notificación a la autoridad?
¿Cómo determina si hay que notificar a los interesados?
¿Qué pasa si la violación involucra a un encargado, no a sus propios sistemas?

Estos ejercicios exponen las brechas en su plan antes de que lo haga una violación real.

El cronograma de respuesta ante violaciones

Hora 0-4: Detección y evaluación inicial

Confirme que se ha producido una violación de datos personales (frente a un incidente de seguridad que no involucre datos personales)
Identifique el tipo de violación (confidencialidad, integridad, disponibilidad)
Comience las medidas de contención inmediatamente
Active el equipo de respuesta a incidentes
Inicie el registro de la violación

Hora 4-24: Investigación y alcance

Determine qué datos se vieron afectados (tipos, volumen, categorías de interesados)
Identifique cómo ocurrió la violación
Evalúe si la violación está contenida o es continua
Evalúe el riesgo para los interesados
Comience a preparar la notificación a la autoridad

Hora 24-48: Decisión y redacción

Decida si se requiere notificación a la autoridad (ante la duda, notifique)
Decida si se requiere notificación a los interesados
Redacte la notificación a la autoridad con todos los elementos requeridos
Prepare la notificación a los interesados si es necesario
Informe a la alta dirección

Hora 48-72: Notificación

Presente la notificación a la autoridad (incluso si está incompleta — puede complementarla después)
Envíe las notificaciones a los interesados si es necesario
Documente todas las acciones tomadas y decisiones adoptadas
Continúe la investigación y la remediación

Post-incidente: Resolución y revisión

Complete la investigación
Implemente medidas para prevenir la recurrencia
Presente información complementaria a la autoridad si la notificación inicial fue incompleta
Realice una revisión post-incidente
Actualice su plan de respuesta ante violaciones basándose en las lecciones aprendidas
Actualice su registro de violaciones

El registro de violaciones

El artículo 33(5) exige que documente todas las violaciones de datos personales — no solo las que reportó a la autoridad. Su registro de violaciones debe documentar:

Los hechos de la violación (qué ocurrió, cuándo, cómo)
Los efectos (qué datos se vieron afectados, cuántos interesados)
Las medidas correctivas adoptadas
Su evaluación de riesgos y decisiones de notificación (incluido el razonamiento si decidió no notificar)

Este registro sirve como evidencia de su responsabilidad proactiva. Cuando una autoridad de control audite su gestión de violaciones, querrá ver este registro.

Obligaciones del encargado ante violaciones

Si es un encargado del tratamiento y descubre una violación que afecte a datos del responsable, el artículo 33(2) le exige notificar al responsable “sin dilación indebida”. Su DPA debe especificar un plazo más preciso.

Como encargado, normalmente no notifica a la autoridad directamente — esa es responsabilidad del responsable. Pero debe:

Informar al responsable con prontitud
Proporcionar toda la información que el responsable necesite para su notificación
Asistir en la investigación y la remediación
Documentar la violación en sus propios registros

Cómo GRCTrail ayuda con la respuesta ante violaciones

GRCTrail proporciona la infraestructura para una respuesta ante violaciones organizada y documentada:

Seguimiento de incidentes. Registre violaciones con datos estructurados — tipo, alcance, cronograma, categorías de datos afectados — y rastréelas a través de investigación, notificación y resolución.

Gestión de evidencias. Cada acción durante la respuesta ante violaciones tiene marca de tiempo y queda registrada. Construya un registro auditable de su respuesta sin tener que buscar entre correos electrónicos y mensajes de chat a posteriori.

Pista de auditoría. Demuestre a las autoridades de control exactamente qué hizo, cuándo lo hizo y por qué tomó las decisiones que tomó. El principio de responsabilidad proactiva exige evidencia documentada, no solo buenas intenciones.

Conectado a su programa de cumplimiento. Su respuesta ante violaciones se conecta con su RAT, sus DPA y sus evaluaciones de riesgos. Comprender qué actividades de tratamiento y proveedores están involucrados en una violación es inmediato.

Desarrolle su capacidad de respuesta ante violaciones →

Guías relacionadas

Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Multas y sanciones del RGPD — El coste del incumplimiento
Evaluación de Impacto en la Protección de Datos (EIPD) — Identificar riesgos antes de que ocurran violaciones
Acuerdos de Tratamiento de Datos (DPA) — Obligaciones de notificación de violaciones de los proveedores

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours