Protección de Datos

Brecha de seguridad de datos: plazo de 72 horas del RGPD

Brecha de seguridad de datos personales en el RGPD: definición del art. 4.12, modelo CIA (confidencialidad, integridad, disponibilidad), notificación a la

Por Laura Sánchez Revisado por Carlos López, editor jefe Actualizado el 10 de junio de 2026

Respuesta directa: la brecha de seguridad de datos personales se define en el art. 4.12 RGPD como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos". Se distinguen 3 dimensiones (modelo CIA): Confidencialidad (acceso no autorizado), Integridad (alteración) y Disponibilidad (pérdida de acceso). El art. 33 RGPD impone al responsable la notificación a la autoridad de control (en España la AEPD o autoridad autonómica) sin dilación indebida y, a más tardar, en 72 horas desde que se tenga conocimiento, salvo que la brecha sea improbable que entrañe riesgo para los derechos y libertades. El art. 34 RGPD obliga a comunicar al interesado sin dilación indebida únicamente si la brecha entraña ALTO riesgo, con excepciones. Todas las brechas deben documentarse en el registro interno (art. 33.5 RGPD) aunque no se notifiquen. Sanciones: hasta 10 millones € o 2% volumen de negocio mundial (art. 83.4 RGPD).

Marco normativo: RGPD + LOPDGDD

Artículo Materia
Art. 4.12 RGPD Definición de "violación de la seguridad de los datos personales"
Art. 32 RGPD Seguridad del tratamiento: medidas técnicas y organizativas apropiadas
Art. 33 RGPD Notificación de la violación a la autoridad de control (plazo 72 horas)
Art. 34 RGPD Comunicación de la violación al interesado (solo si alto riesgo)
Art. 33.5 RGPD Registro interno de todas las brechas (incluidas las no notificadas)
Art. 33.3 RGPD Contenido mínimo de la notificación
Art. 34.3 RGPD Excepciones a la comunicación al interesado
Art. 83.4.a RGPD Sanciones: hasta 10 M€ o 2% volumen mundial
Arts. 38-40 LO 3/2018 Medidas de seguridad y notificación en España
Art. 73 LO 3/2018 Infracción muy grave por no notificar
Directrices 9/2022 CEPD Guía de aplicación notificación brechas
Directiva NIS 2 (UE) 2022/2555 Régimen sectorial específico de ciberseguridad (no sustituye, complementa)
Reglamento DORA (UE) 2022/2554 Resiliencia operacional digital sector financiero

Fuente: RGPD — Reglamento (UE) 2016/679, LO 3/2018 LOPDGDD, Guía AEPD de brechas.

Las 3 dimensiones de la brecha (modelo CIA)

Dimensión Definición Ejemplo típico
Confidencialidad Acceso no autorizado o revelación de datos personales Hackeo + exfiltración de base de datos; email a destinatarios CC visibles; pérdida de USB no cifrado
Integridad Alteración no autorizada de datos personales Web defaceada que modifica datos; ataque que cambia importes; modificación maliciosa de historial
Disponibilidad Pérdida de acceso o destrucción de datos personales Ransomware que cifra base de datos; borrado accidental sin backup; fallo de servidor con pérdida total

El plazo de 72 horas del art. 33 RGPD: cómo se cuenta

Aspecto Régimen
Inicio del cómputo Desde el conocimiento efectivo de la brecha por el responsable (NO desde el incidente)
Plazo "Sin dilación indebida" + "a más tardar 72 horas" (horas naturales, incluidos fines de semana y festivos)
Demora justificada Si se notifica pasadas 72 h, debe justificarse el retraso (art. 33.1 RGPD)
Notificación por fases Si no se puede facilitar toda la información, hacerlo por fases (art. 33.4 RGPD)
Quién la conoce El conocimiento del encargado (proveedor) cuenta para el plazo del responsable: el encargado debe notificar "sin dilación indebida" al responsable (art. 33.2 RGPD)
Forma Sede electrónica de la AEPD (formulario específico) o autoridad autonómica competente

Contenido mínimo de la notificación a la autoridad (art. 33.3 RGPD)

Letra Contenido
a) Describir la naturaleza de la violación, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados
b) Comunicar el nombre y los datos de contacto del Delegado de Protección de Datos (DPO) o de otro punto de contacto
c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales
d) Describir las medidas adoptadas o propuestas para poner remedio a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos

Comunicación al interesado (art. 34 RGPD): solo si alto riesgo

Aspecto Régimen
Cuándo Cuando la violación entrañe un ALTO riesgo para los derechos y libertades del interesado
Plazo Sin dilación indebida (no hay plazo fijo de 72 horas; depende de circunstancias)
Forma Lenguaje claro y sencillo
Contenido Información del art. 33.3.b, c, d + descripción de la naturaleza de la violación
Excepciones (art. 34.3) (a) Medidas técnicas adecuadas que hagan ininteligibles los datos (cifrado fuerte); (b) medidas posteriores que garantizan que ya no es probable el alto riesgo; (c) si supondría esfuerzo desproporcionado → comunicación pública o similar
Posible imposición por autoridad La autoridad de control puede exigir la comunicación al interesado aunque el responsable no la considere necesaria

Evaluación del riesgo: tabla de criterios

Factor Bajo riesgo Alto riesgo
Tipo de datos Datos básicos no sensibles Datos especialmente protegidos (art. 9 RGPD: salud, biometría, sexualidad, ideología)
Volumen de afectados Pocos individuos Gran cantidad o todo el colectivo
Identificabilidad Datos pseudonimizados o cifrados con clave fuerte separada Datos en claro fácilmente identificables
Gravedad de la consecuencia Inconveniente menor Daño económico, físico, moral, reputacional
Categorías de personas Adultos sin vulnerabilidades específicas Menores, víctimas violencia, perfil empresarial sensible
Persistencia Datos efímeros Datos permanentes (DNI, biométricos)
Reversibilidad Reversible (recuperable) Irreversible

Registro interno (art. 33.5 RGPD): todas las brechas

Obligación: documentar TODAS las violaciones, incluyendo:

  • Hechos relacionados con la violación
  • Efectos sobre los datos personales
  • Medidas correctivas adoptadas

Incluso las que NO se notifican a la autoridad (porque el riesgo es improbable).

Función: permite a la autoridad de control verificar el cumplimiento del art. 33 RGPD.

Cadena: responsable, encargado y subencargado

INTERESADO (titular datos)
   ↓
RESPONSABLE del tratamiento
   ↓ (obligación notificar AC en 72h + comunicar interesado si alto riesgo)
   ↓
ENCARGADO del tratamiento (proveedor)
   ↓ (obligación notificar al RESPONSABLE sin dilación indebida)
   ↓
SUBENCARGADO (proveedor del proveedor)
   ↓ (notificar al ENCARGADO)

Importante: el encargado NO notifica directamente a la AEPD. Notifica al responsable, que es quien decide y notifica a la autoridad de control. La cadena se rige por los contratos de encargo del art. 28 RGPD.

Sanciones (art. 83 RGPD)

Infracción Cuantía máxima
Incumplir medidas de seguridad (art. 32 RGPD) 10 M€ o 2% volumen mundial (la mayor)
No notificar a la autoridad (art. 33 RGPD) 10 M€ o 2% volumen mundial
No comunicar al interesado (art. 34 RGPD) 10 M€ o 2% volumen mundial
No documentar en registro interno (art. 33.5) 10 M€ o 2% volumen mundial
Por incumplimiento principios (art. 5) 20 M€ o 4% volumen mundial

En España, el régimen sancionador se complementa con la LO 3/2018: art. 72 (muy graves), art. 73 (graves), art. 74 (leves).

Doctrina y resoluciones de la AEPD / CEPD

Resolución / Directriz Doctrina
Directrices 9/2022 CEPD Ejemplos prácticos: pérdida USB cifrado vs no cifrado, ransomware con/sin exfiltración, error humano
Resoluciones AEPD multas Sanciones por no notificar en plazo o por valoración errónea del riesgo
Decisión Schrems II (CJUE C-311/18) Transferencias internacionales pueden constituir brechas si no hay garantías
Resoluciones AEPD por ransomware Si el ransomware afecta a la disponibilidad de datos personales, hay brecha aunque no se haya filtrado

Ejemplos reales de subsunción

Caso ¿Es brecha? ¿Notificar AEPD? ¿Comunicar interesado?
Hackeo con exfiltración de base de datos de clientes (50.000 registros, datos en claro) (confidencialidad) (alto riesgo)
Pérdida de portátil cifrado con AES-256 y clave fuerte SÍ (confidencialidad) Depende: si cifrado fuerte y no hay otros riesgos, puede no requerir notificación NO (excepción art. 34.3.a)
Pérdida de portátil SIN cifrar con datos personales si alto riesgo
Envío de email a 200 destinatarios con todos en CC visible (confidencialidad) si volumen relevante Depende riesgo
Ransomware que cifra servidor con datos personales sin filtración (disponibilidad) Depende: si los datos se recuperan rápido y no hay alto riesgo, no
Borrado accidental de base de datos con backup completo recuperable inmediato SÍ (disponibilidad) Probablemente no si no hay riesgo NO
Empleado descontento copia y publica datos personales en internet (confidencialidad)
Defacement de web con alteración de datos públicos no personales NO NO NO (no datos personales)
Sustracción de papel con DNI y datos médicos (confidencialidad + datos especiales art. 9) (alto riesgo, datos especiales)
Aviso al responsable por encargado de tratamiento (proveedor) de incidente El responsable cuenta plazo desde conocimiento por el responsable Sí, si procede Si procede
Incidente menor sin datos personales afectados NO es brecha del art. 4.12 NO NO

Diferencias con figuras vecinas (trampas habituales)

Figura Norma Diferencia
Incidente de seguridad informática (general) Normativa interna empresa, ENS, NIS 2 Concepto más amplio; incluye incidentes sin datos personales
Incidente NIS 2 Directiva (UE) 2022/2555 Servicios esenciales y sectores críticos; régimen distinto, complementario
Incidente DORA Reglamento (UE) 2022/2554 Sector financiero; régimen específico
Brecha de información clasificada Ley 9/1968 secretos oficiales Otro régimen específico
Filtración de datos no personales Régimen contractual o LPI No hay obligación RGPD; sí pueden aplicar otras normas
Ataque sin datos comprometidos No hay brecha del art. 4.12 si no afecta a datos personales
Reclamación del interesado Arts. 12, 15-22 RGPD El interesado reclama derechos; distinto de la brecha
Comunicación al ENISA o INCIBE Normativa sectorial Vías paralelas (NIS 2, ENS); no sustituyen la del art. 33 RGPD

6 trampas frecuentes del examen / oposiciones

  1. "El plazo de 72 horas se cuenta desde que ocurre la brecha"FALSO: el art. 33.1 RGPD lo cuenta desde que el responsable tiene conocimiento de la brecha, no desde el incidente. Si se descubre un mes después, las 72 horas empiezan desde el descubrimiento (con prueba documentada).
  2. "Toda brecha debe notificarse a la AEPD"FALSO: el art. 33.1 in fine exime de la notificación cuando es improbable que la brecha entrañe riesgo para los derechos y libertades. Pero atención: TODAS las brechas deben documentarse en el registro interno del art. 33.5.
  3. "La comunicación al interesado siempre va en 72 horas"FALSO: la comunicación del art. 34 RGPD se hace sin dilación indebida pero no tiene plazo fijo de 72 horas. Además, solo procede si hay ALTO riesgo.
  4. "Si los datos están cifrados, nunca hay obligación de comunicar al interesado"MATIZ: el art. 34.3.a RGPD exime si las medidas técnicas (cifrado fuerte) hacen ininteligibles los datos para terceros no autorizados. Pero si la clave también se ha comprometido, el cifrado no exime. La AEPD valora caso por caso.
  5. "El encargado debe notificar directamente a la AEPD"FALSO: el art. 33.2 RGPD establece que el encargado notifica al RESPONSABLE sin dilación indebida. Es el responsable quien notifica a la autoridad de control. La cadena se rige por el art. 28 RGPD.
  6. "Las brechas que no se notifican no hay que documentarlas"FALSO: el art. 33.5 RGPD obliga a documentar TODAS las brechas, incluso las que no se notifican. La autoridad de control puede revisar el registro interno y sancionar si falta.

Reformas y reglas recientes a recordar

  • Directrices 9/2022 CEPD sobre notificación de brechas: ejemplos prácticos y criterios de valoración del riesgo.
  • Directiva NIS 2 (UE) 2022/2555: ampliación del régimen de ciberseguridad para sectores esenciales e importantes. Notificación específica de incidentes.
  • Reglamento DORA (UE) 2022/2554: resiliencia operacional digital para sector financiero.
  • Reglamento (UE) 2024/1689 IA Act: nuevas obligaciones para sistemas de IA con datos personales.
  • Guía AEPD de brechas 2023-2024: orientación práctica para responsables.
  • Sanciones AEPD recientes: multas relevantes por no notificar (decenas de casos públicos).

Fuentes oficiales

Para repasar conectado

Fecha de revisión: 2026-05-27.

Preguntas frecuentes

¿Qué es una brecha de seguridad de datos personales según el RGPD?

El art. 4.12 RGPD la define como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos". Se distinguen tres dimensiones (modelo CIA): confidencialidad (acceso no autorizado), integridad (alteración) y disponibilidad (pérdida de acceso o destrucción). Incluye tanto ataques informáticos como errores humanos: envío a destinatarios erróneos, pérdida de dispositivos, borrado accidental, ransomware. No se limita al hackeo: cualquier incidente que afecte a datos personales puede constituir brecha.

¿Cuándo se cuenta el plazo de 72 horas para notificar a la AEPD?

Desde el momento en que el RESPONSABLE TIENE CONOCIMIENTO de la brecha, NO desde el incidente (art. 33.1 RGPD). Si se descubre un mes después, las 72 horas empiezan desde el descubrimiento, debidamente documentado. La notificación debe hacerse "sin dilación indebida" y "a más tardar" en 72 horas naturales (incluyendo fines de semana y festivos). Si se notifica fuera de plazo, debe justificarse el retraso. Se puede notificar por fases (art. 33.4) si no se dispone de toda la información, aportando información complementaria a medida que se obtenga.

¿Cuándo hay que comunicar la brecha al interesado afectado?

Solo cuando la brecha entrañe ALTO RIESGO para los derechos y libertades del interesado (art. 34 RGPD). Debe hacerse "sin dilación indebida" (no hay plazo fijo de 72 horas) en lenguaje claro y sencillo, con el contenido del art. 33.3.b, c y d. Hay tres excepciones (art. 34.3): (a) medidas técnicas que hagan ininteligibles los datos (cifrado fuerte con clave no comprometida); (b) medidas posteriores que garanticen que ya no es probable el alto riesgo; (c) cuando la comunicación individual suponga esfuerzo desproporcionado, en cuyo caso procede comunicación pública. La autoridad de control puede exigirla aunque el responsable no la considere necesaria.

¿Todas las brechas se notifican a la AEPD?

No. El art. 33.1 RGPD exime de notificación cuando sea IMPROBABLE que la brecha entrañe riesgo para los derechos y libertades de los interesados (criterio finalista). Sin embargo, el art. 33.5 RGPD obliga a DOCUMENTAR EN EL REGISTRO INTERNO TODAS las brechas, incluso las no notificadas, con los hechos, efectos y medidas correctivas adoptadas. Esto permite a la AEPD verificar el cumplimiento del art. 33 en inspecciones. La omisión del registro interno es por sí misma sancionable. La valoración del riesgo debe documentarse para defender la decisión.

¿Quién debe notificar la brecha cuando hay encargado del tratamiento?

El RESPONSABLE es quien notifica a la autoridad de control en 72 horas. El ENCARGADO (proveedor) debe notificar al responsable "sin dilación indebida" desde que tenga conocimiento (art. 33.2 RGPD). El responsable, a partir de la notificación del encargado, cuenta sus 72 horas para notificar a la AEPD. El encargado NO notifica directamente a la AEPD salvo que actúe como responsable de tratamiento propio. La cadena se rige por el contrato de encargo del art. 28 RGPD, que debe incluir cláusulas específicas sobre notificación de brechas. Los subencargados notifican al encargado, no directamente al responsable.

¿Qué sanciones puede imponer la AEPD por incumplimiento del régimen de brechas?

Conforme al art. 83.4.a RGPD, hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior, la cantidad que sea mayor. Esto cubre incumplimientos del art. 32 (medidas de seguridad), art. 33 (notificación a la autoridad), art. 34 (comunicación al interesado) y art. 33.5 (registro interno). En España, la LO 3/2018 los califica como infracciones muy graves (arts. 72-73). En cuantía proporcionada al volumen y gravedad del incumplimiento, la AEPD ha impuesto sanciones desde decenas de miles hasta varios millones de euros en casos relevantes.

También te conviene repasar

Ver todas las guías de Protección de Datos →
Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

 AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

 Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

 Bases jurídicas del tratamiento de datos: art. 6 RGPD

Las 6 bases del art. 6.1 RGPD detalladas (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo), doble candado

 Derechos ARSULIPO del interesado: arts. 15-22 RGPD

Derechos del interesado del RGPD (acceso, rectificación, supresión-olvido, limitación, portabilidad, oposición, decisiones automatizadas): arts.

 Derechos digitales del Título X LOPDGDD: arts. 79-97

Los 19 derechos digitales del Título X LO 3/2018 LOPDGDD por bloques: ciudadanía digital (79-84), rectificación/actualización (85-86), laborales (87-91)

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro