Communication of personal data breaches to data subjects
Last updated:
Una brecha de datos personales es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.
Una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente, especialmente cuando puedan poner en riesgo los derechos y libertades de las personas físicas.
El artículo 33 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
Con el objetivo de ayudar en la toma de decisiones, la AEPD ofrece la herramienta ASESORA BRECHA.
El responsable de tratamiento debe valorar el nivel de riesgo de una brecha de datos personales y notificarla a la autoridad de control cuando exista tal riesgo, y además cuando el riesgo sea alto el responsable también deberá comunicar la brecha a las personas afectadas conforme al artículo 34 del RGPD.
El plazo para notificar a la autoridad de control es de 72 horas desde que la organización tiene constancia de la brecha.
En el ámbito privado, los responsables del tratamiento afectados por una brecha de datos personales deberán notificar a la AEPD:
- Cuando su único establecimiento esté localizado en España.
- Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.
- Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.
- Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.
En el ámbito público, con carácter general las AAPP deben notificar las brechas de datos personales a la Agencia Española de Protección de Datos a excepción del caso de las Comunidades Autónomas de:
Cuando las brechas de datos personales se produzcan en entidades del sector público bajo su competencia.
Las notificaciones de brechas de datos personales a la AEPD se deben realizar de forma electrónica, usando el formulario de notificación de brechas de datos personales de la Sede Electrónica para garantizar una correcta ejecución de las obligaciones del artículo 33.3 del RGPD.
La notificación a la autoridad de control de una brecha que afecta a datos personales forma parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo. De hecho, notificar en tiempo y forma es una evidencia de la diligencia de la organización, mientas que no cumplir con esa obligación si está tipificado como infracción.
Sin embargo, en aquellos casos en los que el responsable considere que no existieran riesgos para los derechos y libertades de las personas físicas el responsable tiene la obligación de documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD.
Con el objetivo de ayudar en la obligación de notificar las brechas de datos personales a la autoridad de control, la AEPD ofrece indicaciones en la Guía para la notificación de brechas de datos personales así como otros recursos en el apartado de innovación y tecnología.
Blog y Preguntas frecuentes (FAQs)
Blog de la AEPD
- Brechas de datos personales: seguridad enfocada a los tratamientos [mar 2024]
- Brechas de datos personales: entornos de desarrollo y preproducción [abr 2022]
- Sin privacidad no hay ciberseguridad [feb 2022]
- Brechas de seguridad: el correo electrónico y las plataformas de productividad online [jun 2020]
- Brechas de seguridad: El Top 5 de las medidas técnicas que debes tener en cuenta [abr 2020]
- Notificación de brechas de seguridad de los datos personales durante el estado de alarma [abr 2020]
- Campañas de phishing sobre el COVID-19 [mar 2020]
- Brechas de seguridad: comunicación a los interesados [feb 2020]
- Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil [oct 2019]
- Brechas de seguridad de datos personales: qué son y cómo actuar[jun 2019]
- Brechas de seguridad: protégete ante el ransomware[may 2019]
- Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte[mar 2017]
FAQS
Guías y herramientas
Guía para la Gestión y Notificación de Brechas de Datos Personales [jun 2021]
EDPB: Guidelines 9/2022 on personal data breach notification under the GDPR [mar 2023]
EDPB: Guidelines 01/2021 on Examples regarding Data Breach Notification [dic 2021]
Cómo gestionar una fuga de información en un despacho de abogados [sept 2019]
Formulario de notificación de brechas de seguridad
Datos de notificaciones
2023
- Informe de notificaciones de brechas de seguridad durante enero de 2023
- Informe de notificaciones de brechas de seguridad durante febrero de 2023
- Informe de notificaciones de brechas de seguridad durante marzo de 2023
- Informe de notificaciones de brechas de seguridad durante abril de 2023
- Informe de notificaciones de brechas de seguridad durante mayo de 2023
- Informe de notificaciones de brechas de seguridad durante junio de 2023
- Informe de notificaciones de brechas de seguridad durante julio de 2023
- Informe de notificaciones de brechas de seguridad durante agosto de 2023
- Informe de notificaciones de brechas de seguridad durante septiembre de 20223
2022
- Informe de notificaciones de brechas de seguridad durante enero de 2022
- Informe de notificaciones de brechas de seguridad durante febrero de 2022
- Informe de notificaciones de brechas de seguridad durante marzo de 2022
- Informe de notificaciones de brechas de seguridad durante abril de 2022
- Informe de notificaciones de brechas de seguridad durante mayo de 2022
- Informe de notificaciones de brechas de seguridad durante junio de 2022
- Informe de notificaciones de brechas de seguridad durante julio de 2022
- Informe de notificaciones de brechas de seguridad durante agosto de 2022
- Informe de notificaciones de brechas de seguridad durante septiembre de 2022
- Informe de notificaciones de brechas de seguridad durante octubre de 2022
- Informe de notificaciones de brechas de seguridad durante noviembre de 2022
- Informe de notificaciones de brechas de seguridad durante diciembre de 2022
2021
- Informe de notificaciones de brechas de seguridad durante enero de 2021
- Informe de notificaciones de brechas de seguridad durante febrero de 2021
- Informe de notificaciones de brechas de seguridad durante marzo de 2021
- Informe de notificaciones de brechas de seguridad durante abril de 2021
- Informe de notificaciones de brechas de seguridad durante mayo de 2021
- Informe de notificaciones de brechas de seguridad durante junio de 2021
- Informe de notificaciones de brechas de seguridad durante julio de 2021
- Informe de notificaciones de brechas de seguridad durante agosto de 2021
- Informe de notificaciones de brechas de seguridad durante septiembre de 2021
- Informe de notificaciones de brechas de seguridad durante octubre de 2021
- Informe de notificaciones de brechas de seguridad durante noviembre de 2021
- Informe de notificaciones de brechas de seguridad durante diciembre de 2021
2020
- Informe de notificaciones de brechas de seguridad durante enero de 2020
- Informe de notificaciones de brechas de seguridad durante febrero de 2020
- Informe de notificaciones de brechas de seguridad durante marzo de 2020
- Informe de notificaciones de brechas de seguridad durante abril de 2020
- Informe de notificaciones de brechas de seguridad durante mayo de 2020
- Informe de notificaciones de brechas de seguridad durante junio de 2020
- Informe de notificaciones de brechas de seguridad durante julio de 2020
- Informe de notificaciones de brechas de seguridad durante agosto de 2020
- Informe de notificaciones de brechas de seguridad durante septiembre de 2020
- Informe de notificaciones de brechas de seguridad durante octubre de 2020
- Informe de notificaciones de brechas de seguridad durante noviembre de 2020
- Informe de notificaciones de brechas de seguridad durante diciembre de 2020
2018-2019
- Informe de notificaciones de brechas de seguridad durante 2018
- Informe de notificaciones de brechas de seguridad durante enero de 2019
- Informe de notificaciones de brechas de seguridad durante febrero de 2019
- Informe de notificaciones de brechas de seguridad durante marzo de 2019
- Informe de notificaciones de brechas de seguridad durante abril de 2019
- Informe de notificaciones de brechas de seguridad durante mayo de 2019
- Informe de notificaciones de brechas de seguridad durante junio de 2019
- Informe de notificaciones de brechas de seguridad durante julio de 2019
- Informe de notificaciones de brechas de seguridad durante agosto de 2019
- Informe de notificaciones de brechas de seguridad durante septiembre de 2019
- Informe de notificaciones de brechas de seguridad durante octubre de 2019
- Informe de notificaciones de brechas de seguridad durante noviembre de 2019
- Informe de notificaciones de brechas de seguridad durante diciembre de 2019