Cuando aplica la notificacion de brechas de datos personales y que hacer despues
Respuesta directa
La notificacion aplica cuando un incidente de seguridad afecta datos personales y puede generar un umbral de riesgo, una obligacion del encargado o una notificacion contractual. El primer paso es abrir un registro, asignar responsables, evaluar el riesgo y conservar evidencia.
A quién afecta: Equipos de privacidad, responsables de compliance, producto, legal, seguridad y fundadores SaaS
Qué hacer ahora
- Abra un registro cuando un incidente pueda involucrar datos personales.
- Separe deberes frente a autoridad, personas afectadas, clientes y equipos internos.
- Conserve en un solo lugar la linea temporal, la evaluacion, la decision y la remediacion.
La notificacion de brechas de datos personales funciona mejor como un flujo operativo. Si un incidente puede involucrar datos personales, el equipo debe abrir un registro de evaluacion, confirmar sistemas afectados, asignar responsables y documentar lo conocido y lo pendiente.
El articulo 33 del GDPR exige que el responsable notifique a la autoridad competente sin dilacion indebida y, cuando sea posible, en 72 horas desde que tenga conocimiento de la brecha, salvo que sea improbable que exista riesgo para los derechos y libertades de las personas. El encargado debe informar al responsable sin dilacion indebida. El articulo 34 crea una obligacion separada de comunicar a las personas afectadas cuando exista un alto riesgo.
Para un equipo SaaS, la clave es separar preguntas. Primero, si hay datos personales. Segundo, si hay riesgo o alto riesgo. Tercero, que papel tiene la empresa en cada conjunto de datos. Puede ser responsable para datos de cuenta, facturacion o marketing, y encargado para contenido de clientes.
El registro debe incluir tiempo de deteccion, momento de conocimiento, sistemas, categorias de datos, personas o registros afectados, proveedores, contencion, consecuencias probables, medidas de mitigacion y decision de notificacion. Si existen DPAs o contratos con plazos de aviso al cliente, esos plazos deben estar en el mismo flujo.
No todas las audiencias requieren el mismo mensaje. La autoridad, las personas afectadas, los clientes y los equipos internos tienen necesidades diferentes. La evaluacion de riesgo para autoridad y la evaluacion de alto riesgo para individuos deben documentarse por separado.
Los errores comunes son esperar certeza antes de abrir el registro, tratar a la empresa como si tuviera un solo rol, confundir riesgo con alto riesgo, confiar demasiado en cifrado o contencion, y dejar la evidencia repartida entre chats, tickets y correos. Un buen flujo une respuesta a incidentes, privacidad, obligaciones con clientes y remediacion.
FAQ
Todas las brechas deben notificarse a la autoridad?
No. Si es improbable que haya riesgo para derechos y libertades, puede no ser necesaria la notificacion. La decision y sus razones deben quedar documentadas.
Que debe documentarse primero?
Linea temporal, datos afectados, rol GDPR, clientes afectados, contencion, evaluacion de riesgo, decision, responsable y acciones correctivas.
Términos clave en este artículo
Fuentes primarias
- General Data Protection RegulationEuropean Union · Consultado 9 may 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Consultado 9 may 2026
- Personal data breaches - a guideInformation Commissioner's Office · Consultado 9 may 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Consultado 9 may 2026
Explora hubs relacionados
Artículos relacionados
Términos relacionados del glosario
¿Listo para asegurar tu compliance?
No esperes a que los incumplimientos bloqueen tu negocio. Obtén tu informe integral de compliance en minutos.
Escanea tu sitio gratis ahora