Notificación de Brechas de Datos del RGPD: la Regla de las 72 Horas Explicada (2026)

Conforme al Artículo 33 del RGPD, los responsables del tratamiento deben notificar a su autoridad de control dentro de las 72 horas siguientes a tener conocimiento de una violación de la seguridad de los datos personales, siempre que la violación pueda entrañar un riesgo para las personas. El plazo comienza a correr cuando el responsable tiene una certeza razonable de que se ha producido una violación, no cuando concluye la investigación.
Cuando se produce una violación de datos personales, el plazo comienza a correr de inmediato. Conforme al RGPD, los responsables del tratamiento disponen de tan solo 72 horas para notificar a su autoridad de control tras tener conocimiento de una violación que cumpla los requisitos. Incumplir ese plazo constituye una infracción independiente que puede dar lugar a multas significativas, y los casos contra Meta, Bank of Ireland y Permanent TSB demuestran que las autoridades de control lo persiguen.
Los Artículos 33 y 34 del Reglamento (UE) 2016/679 establecen el marco de notificación de brechas. Las Directrices 9/2022 del CEPD sobre la notificación de violaciones de datos personales (versión 2.0, adoptadas en abril de 2023) y las Directrices 01/2021 del CEPD sobre ejemplos de violaciones que las acompañan proporcionan la interpretación de referencia utilizada por todas las autoridades de control de la UE y el EEE.
Esta guía explica qué constituye una violación, cuándo se activa cada deber de notificación, qué debe incluirse exactamente, qué significa "tener conocimiento", el papel del encargado del tratamiento, la obligación del registro de brechas, los errores comunes, la ejecución, y cómo se comparan las normas del RGPD con otros marcos importantes.
Para el contexto regulatorio más amplio, consulte ¿Qué Es el RGPD?. Para la planificación del cumplimiento, consulte la lista de verificación de cumplimiento del RGPD. Para los rangos de sanciones, consulte Multas y sanciones del RGPD.
Este artículo tiene fines meramente informativos y no constituye asesoramiento legal. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado para obtener orientación específica sobre su situación.
Respuesta Rápida
La regla de las 72 horas es una forma abreviada de referirse al Artículo 33(1) del RGPD. Cuando se produce una violación de datos personales, el responsable debe notificar a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de ella, salvo que sea improbable que la violación entrañe algún riesgo para los derechos y libertades de las personas.
Si la notificación no puede realizarse dentro de las 72 horas, aun así debe presentarse lo antes posible y acompañarse de una justificación motivada del retraso.
Un deber separado conforme al Artículo 34 puede exigir que el responsable también notifique directamente a las personas afectadas, pero solo cuando la violación pueda entrañar un alto riesgo, lo que constituye un umbral más elevado.
Qué Constituye una Violación de Datos Personales
El Artículo 4(12) del RGPD define una violación de datos personales como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".
La Comisión Europea y la guía del CEPD para pymes sobre violaciones de datos organizan esto en torno a tres tipos de incidente de seguridad: la tríada de confidencialidad, integridad y disponibilidad.
Violación de Confidencialidad
Divulgación o acceso no autorizados o accidentales a datos personales. Ejemplos:
- Un ciberataque obtiene acceso a una base de datos de clientes
- Un empleado envía por correo electrónico datos personales al destinatario equivocado
- Una laptop robada o perdida contiene datos personales sin cifrar
- Los sistemas de un encargado del tratamiento se ven comprometidos, exponiendo datos compartidos con él en virtud de un acuerdo del Artículo 28
- Un bucket de almacenamiento en la nube se configura incorrectamente y queda accesible públicamente
Violación de Integridad
Alteración no autorizada o accidental de datos personales. Ejemplos:
- Un ciberataque modifica registros médicos
- Un error de software corrompe los datos de nómina
- Un usuario no autorizado edita los datos de la cuenta de un cliente sin autorización
Violación de Disponibilidad
Pérdida accidental o no autorizada de acceso a datos personales, o su destrucción. Ejemplos:
- Un ataque de ransomware cifra una base de datos y no hay copia de seguridad disponible
- Un fallo de servidor destruye permanentemente registros sin posibilidad de recuperación
- Un empleado elimina accidentalmente un conjunto de datos sin copia de seguridad
Los ataques de ransomware son particularmente significativos porque pueden desencadenar simultáneamente los tres tipos de violación: los datos cifrados constituyen una violación de disponibilidad; si los datos también fueron exfiltrados antes del cifrado, se trata de una violación de confidencialidad; y la integridad no puede garantizarse si el atacante tuvo acceso de escritura.
La guía de la ICO sobre violaciones de datos personales subraya que una violación no requiere intención maliciosa. La pérdida accidental, el error humano y los fallos del sistema califican todos ellos si se ven afectados datos personales.
Una nota sobre el ransomware y las copias de seguridad: una violación de disponibilidad causada por ransomware puede no requerir notificación si la organización cuenta con copias de seguridad verificadas y limpias, y puede restaurar los datos con prontitud sin efectos duraderos para las personas. Sin embargo, esta evaluación debe documentarse y la organización debe tener la certeza de que no se exfiltraron datos. Ante la duda, notifique.

La Regla de las 72 Horas: Notificación a la Autoridad de Control (Artículo 33)
La Obligación Central
El Artículo 33(1) exige que el responsable notifique a la autoridad de control competente "sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella", salvo que sea improbable que la violación "constituya un riesgo para los derechos y las libertades de las personas físicas".
La obligación se compone de dos elementos:
Primero, la rapidez. La notificación debe realizarse "sin dilación indebida" y, de ser posible, dentro de las 72 horas. Se trata de requisitos distintos: el límite de 72 horas no significa que pueda esperar 71 horas si la información está lista antes.
Segundo, el umbral. Solo las violaciones que puedan entrañar al menos cierto riesgo para las personas activan el deber. Las violaciones que genuinamente no sean susceptibles de afectar a nadie no necesitan notificarse a la autoridad, pero deben documentarse internamente de todos modos.
Qué Debe Incluir la Notificación
El Artículo 33(3) especifica cuatro categorías de información obligatoria:
- Naturaleza de la violación: las categorías y el número aproximado de interesados afectados; las categorías y el número aproximado de registros de datos personales afectados; cómo se produjo la violación
- Punto de contacto: el nombre y los datos de contacto del DPO u otro punto de contacto
- Consecuencias probables: una descripción de las probables consecuencias de la violación para las personas afectadas
- Medidas adoptadas: las medidas adoptadas o propuestas para abordar la violación, incluidas las medidas para mitigar los posibles efectos adversos
Notificación por Fases
El Artículo 33(4) permite expresamente la notificación por fases. Si no se dispone del panorama completo dentro de las 72 horas, presente una notificación inicial con la información disponible dentro de ese plazo. Los detalles complementarios deben seguir "sin mayor dilación indebida" a medida que avanza la investigación.
Este es el mecanismo que los reguladores esperan que utilicen los responsables en incidentes complejos. Presentar una notificación inicial que indique "investigación en curso" es mucho mejor que esperar a tener el panorama completo e incumplir el plazo de 72 horas.
Cómo Notificar
El CEPD mantiene un directorio de portales de notificación de brechas para cada autoridad de control nacional. La mayoría de las autoridades de control aceptan notificaciones a través de formularios en línea.
Conforme al mecanismo de ventanilla única, los responsables con un establecimiento principal en la UE notifican a la autoridad de control principal (la autoridad de protección de datos del Estado miembro donde se ubica el establecimiento principal del responsable). Si la violación afecta principalmente a personas en un Estado miembro específico, también se puede notificar a esas autoridades.
La Excepción de "Sin Riesgo"
No se requiere notificación si es improbable que la violación "constituya un riesgo para los derechos y las libertades de las personas físicas". Las Directrices 9/2022 del CEPD señalan que se trata de una excepción limitada. La mayoría de las violaciones que implican datos personales sí conllevan al menos cierto riesgo. Cuando la evaluación es dudosa, el CEPD recomienda inclinarse por la notificación.
Entre los factores que reducen el riesgo y pueden respaldar una decisión de no notificar se incluyen:
- Los datos estaban completamente cifrados y la clave de cifrado no se vio comprometida
- Los datos ya eran públicamente accesibles y la exposición no causó un perjuicio adicional
- La violación se contuvo de inmediato y no se confirmó ningún acceso externo
- Las categorías de datos implicadas no son sensibles y la violación fue breve
Incluso cuando decida no notificar a la autoridad de control, la violación debe seguir registrándose en el registro de brechas.
Cuándo Comienza a Correr el Plazo: "Tener Conocimiento"
El plazo de 72 horas corre desde el momento en que el responsable "tiene conocimiento" de la violación: no desde que comenzó la violación, no desde que finaliza la investigación, y no desde que se conoce el alcance completo.
Las Directrices 9/2022 del CEPD definen el conocimiento como el momento en que "el responsable tiene un grado razonable de certeza de que se ha producido un incidente de seguridad que ha comprometido datos personales".
Escenarios Prácticos
Cuando su sistema de detección de intrusiones, monitoreo de registros o SIEM genera una alerta sobre una violación, el conocimiento comienza cuando una persona responsable revisa y reconoce esa alerta como indicativa de una probable violación. Recibir simplemente una alerta automatizada sobre la que nadie actúa no constituye necesariamente conocimiento, pero se espera que las organizaciones cuenten con procedimientos de respuesta razonables para que las alertas se revisen con prontitud.
Cuando un encargado del tratamiento descubre primero una violación y notifica al responsable, este último tiene conocimiento cuando recibe la notificación del encargado. El plazo no corre desde el momento en que el encargado descubrió el incidente, sino solo si el encargado notificó con prontitud.
Cuando un tercero externo (un investigador de seguridad, un cliente, un periodista) informa de manera creíble sobre una violación, el responsable tiene conocimiento cuando recibe información que le proporciona un grado razonable de certeza de que se ha producido una violación.
Una investigación en curso para determinar el alcance completo de una violación no suspende el plazo. El responsable debe notificar con base en la información disponible al llegar a las 72 horas, y complementarla con información adicional a medida que avanza la investigación.
Errores Comunes sobre el Conocimiento
Los responsables a veces tratan el inicio de una investigación como el inicio del plazo. Esto es incorrecto. Un correo electrónico de phishing que se abre, unas credenciales comprometidas, o un registro de acceso que muestra actividad inusual pueden constituir todos ellos una certeza suficiente de que se ha producido una violación, incluso antes de que la investigación haya finalizado.
Las autoridades de control han multado específicamente a organizaciones por concluir las investigaciones antes de presentar las notificaciones de brecha, excediendo así el plazo de 72 horas. La CNIL de Francia, en particular, ha citado como infracciones recurrentes las evaluaciones de riesgo inadecuadas y los inicios tardíos de la notificación.

Notificación a los Interesados (Artículo 34)
El Umbral de Alto Riesgo
El Artículo 34(1) exige que los responsables comuniquen una violación a los interesados afectados "sin dilación indebida" cuando la violación "entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas".
El umbral de alto riesgo es considerablemente más elevado que el umbral de "riesgo" para la notificación a la autoridad de control. No toda violación que deba notificarse a la autoridad de control requiere también la notificación individual.
Las directrices del CEPD orientan a los responsables a evaluar el alto riesgo ponderando:
- Sensibilidad de los datos: los datos de salud, los datos financieros, los datos biométricos, los números de identificación y los datos de menores conllevan un riesgo elevado
- Volumen: un mayor número de personas afectadas generalmente aumenta el riesgo
- Facilidad de identificación: los datos que pueden vincularse fácilmente a personas específicas plantean un mayor riesgo
- Consecuencias probables: el robo de identidad, la pérdida financiera, la discriminación, el daño reputacional y los riesgos para la seguridad física respaldan todos ellos una declaración de alto riesgo
- Características especiales de las personas afectadas: los grupos vulnerables (menores, pacientes, personas en situaciones de violencia doméstica) enfrentan un mayor perjuicio potencial
Qué Debe Incluir la Comunicación
La comunicación a los interesados debe transmitir:
- Una descripción clara y en lenguaje sencillo de la naturaleza de la violación
- El nombre y los datos de contacto del DPO u otro punto de contacto
- Una descripción de las probables consecuencias para la persona
- Las medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos
La comunicación debe ser directa, enviada a cada persona afectada, salvo que la notificación individual suponga un esfuerzo desproporcionado, en cuyo caso se exige una comunicación pública u otra medida alternativa igualmente eficaz.
Tres Excepciones a la Notificación al Interesado
El Artículo 34(3) prevé tres situaciones en las que no se requiere la notificación individual, incluso cuando existe un alto riesgo:
Primero, el cifrado o una protección equivalente. El responsable aplicó medidas técnicas apropiadas (como el cifrado) que hacen que los datos personales resulten ininteligibles para cualquier persona no autorizada, y esas medidas se aplicaron a los datos implicados en la violación. Para que esta excepción funcione, el cifrado debe haber sido robusto y la clave no debe haberse visto comprometida.
Segundo, la mitigación posterior. El responsable adoptó medidas posteriores que garantizan que ya no sea probable que el alto riesgo para las personas se materialice. Por ejemplo: las credenciales se vieron comprometidas, pero el responsable las revocó inmediatamente antes de que se produjera cualquier uso no autorizado, y no hay evidencia de exfiltración de datos.
Tercero, el esfuerzo desproporcionado. Cuando identificar y contactar directamente a cada persona afectada requeriría un esfuerzo desproporcionado, el responsable debe realizar en su lugar una comunicación pública que informe a las personas con la misma eficacia, típicamente un comunicado de prensa, un aviso en el sitio web o un anuncio en redes sociales.
El Deber del Encargado del Tratamiento (Artículo 33(2))
Los encargados del tratamiento tienen su propia obligación de notificación de brechas conforme al Artículo 33(2). Tras tener conocimiento de una violación de datos personales, el encargado debe notificar al responsable "sin dilación indebida".
El RGPD no establece un límite fijo de horas para la notificación del encargado al responsable. Sin embargo, las Directrices 9/2022 del CEPD recomiendan que los encargados procuren notificar a los responsables dentro de las 72 horas siguientes a tener conocimiento de la violación por sí mismos, ya que el plazo de 72 horas del responsable frente a la autoridad de control depende en la práctica de recibir a tiempo la notificación del encargado.
Qué Implica Esto para los Contratos
Los acuerdos de tratamiento de datos del Artículo 28 deben especificar:
- Un plazo máximo de notificación del encargado al responsable (24 horas es una práctica común; 72 horas es el máximo práctico)
- La información mínima que el encargado debe incluir en la notificación (naturaleza de la violación, categorías de datos afectadas, número aproximado de personas, consecuencias probables, medidas iniciales de contención)
- Una obligación del encargado de asistir al responsable en la preparación de la notificación a la autoridad de control y de cualquier comunicación a los interesados
- La obligación del encargado de cooperar con la investigación de la autoridad de control
- Contactos de escalamiento y procedimientos fuera del horario laboral
Un encargado que no notifique al responsable a tiempo, provocando que este incumpla el plazo de 72 horas, puede él mismo enfrentar un escrutinio regulatorio. El Compendio de Casos de Ventanilla Única del CEPD sobre Seguridad del Tratamiento y Notificación de Violaciones de Datos (2024) documenta cómo las autoridades de control han abordado los fallos en la cadena de encargados en casos transfronterizos.
El Registro de Brechas (Artículo 33(5))
El Artículo 33(5) exige que los responsables documenten todas las violaciones de datos personales, independientemente de si se requirió la notificación a la autoridad de control. Este registro interno de brechas debe incluir:
- Los hechos de la violación (qué ocurrió, cómo se descubrió, cuándo se produjo y cuándo se detectó)
- Los efectos de la violación sobre las personas afectadas
- Las medidas correctivas adoptadas y propuestas
- La evaluación de riesgo del responsable: el análisis de la probabilidad y gravedad del riesgo para las personas
- El razonamiento para notificar o no notificar a la autoridad de control
- Cuando corresponda, el razonamiento para no notificar a los interesados
- Los detalles de cualquier notificación realizada (fecha, contenido, autoridad destinataria)
El registro de brechas debe estar disponible para la autoridad de control cuando lo solicite. Constituye la principal evidencia documental de que el responsable gestionó la violación de conformidad con el RGPD. En las investigaciones y auditorías, la ausencia de un registro adecuado se trata en sí misma como una infracción.
El registro debe mantenerse de forma segura y revisarse periódicamente. Las organizaciones que manejan volúmenes significativos de datos personales deben tratar el registro de brechas como un documento vivo, no como un archivo único.
Errores Comunes
Esperar a que finalice la investigación antes de notificar. Este es el error más citado con frecuencia. El plazo comienza a correr con el conocimiento, no al final de la investigación. La notificación por fases es el mecanismo previsto. Presente la notificación inicial con la información disponible dentro de las 72 horas, y complétela después.
Tratar el descubrimiento del encargado como su punto de partida. Si su encargado descubrió la violación días antes de notificárselo, su plazo de 72 horas no comienza en la fecha de descubrimiento del encargado. Pero si la notificación tardía del encargado le hizo incumplir el plazo, tanto usted como el encargado pueden enfrentar un escrutinio regulatorio.
Suponer que una violación pequeña no requiere documentación. Toda violación, por menor que sea, requiere una entrada en el registro de brechas. Solo difiere el umbral de notificación. Omitir el registro en incidentes de bajo riesgo constituye una brecha de cumplimiento que sale a la luz en las auditorías.
Evaluaciones de riesgo vagas. Las autoridades de control, en particular la CNIL de Francia, han citado las evaluaciones de riesgo inadecuadas como una infracción independiente. Afirmar que "se evaluó el riesgo como bajo" sin razonamiento, volúmenes de datos, categorías afectadas y análisis de gravedad resulta insuficiente. La entrada del registro debe mostrar el trabajo realizado.
No notificar a los interesados cuando existe alto riesgo. Cuando una violación implica datos sensibles y existe una amenaza realista de robo de identidad, perjuicio financiero o discriminación, los responsables a veces asumen erróneamente que se aplica la excepción de cifrado o que el riesgo se ha mitigado. Ante la duda, notifique a las personas.
Contenido inadecuado en la notificación a la autoridad de control. El Artículo 33(3) especifica el contenido obligatorio. La decisión de la DPC contra Meta de 251 millones de euros en diciembre de 2024 incluyó una conclusión específica de que su notificación de brecha no contenía toda la información exigida conforme al Artículo 33(3), así como una conclusión separada conforme al Artículo 33(5) por documentación inadecuada del registro de brechas. Las notificaciones incompletas se tratan como una infracción separada de la notificación tardía.

Ejemplos de Ejecución
Meta: 251 Millones de Euros (DPC de Irlanda, Diciembre de 2024)
La DPC de Irlanda multó a Meta con 251 millones de euros a raíz de una violación de 2018 en la que los atacantes explotaron vulnerabilidades en la función "Ver como" de Facebook para robar tokens de acceso de aproximadamente 29 millones de cuentas a nivel mundial (alrededor de 3 millones en la UE/EEE). La multa comprendía múltiples infracciones: 8 millones de euros por una infracción del Artículo 33(3), ya que la notificación de Meta no contenía toda la información exigida; 3 millones de euros por documentación inadecuada de la violación conforme al Artículo 33(5); 130 millones de euros por un diseño deficiente del sistema conforme al Artículo 25; y 110 millones de euros por no tratar únicamente los datos necesarios por defecto.
La decisión sobre Meta es significativa porque demuestra que las autoridades de control imponen multas independientes por contenido de notificación incompleto, no solo por notificación tardía.
Bank of Ireland: 463 000 Euros (DPC de Irlanda, 14 de Marzo de 2022)
La DPC de Irlanda multó a Bank of Ireland con 463 000 euros tras una investigación sobre 22 notificaciones de brecha realizadas entre noviembre de 2018 y junio de 2019. La DPC determinó que 19 de esos incidentes calificaban como violaciones de datos personales. Una sola violación afectó aproximadamente a 47 000 interesados; la notificación inicial de BOI había indicado que solo una persona se vio afectada. La DPC determinó que BOI había infringido el Artículo 33(1) al no notificar las violaciones sin dilación indebida: en varios casos, las violaciones se detectaron internamente pero no se escalaron al DPO durante nueve días o más, dejando la notificación muy fuera del plazo de 72 horas.
Permanent TSB: 277 500 Euros (DPC de Irlanda, Mayo de 2026)
La DPC de Irlanda multó a Permanent TSB con 277 500 euros tras una investigación sobre violaciones de datos personales reportadas a partir de mayo de 2022. Las violaciones surgieron cuando actores maliciosos llamaron al centro de contacto Open24 del banco, se hicieron pasar por clientes utilizando información parcial de estos, y accedieron y modificaron los datos de las cuentas. De la multa, 27 500 euros correspondieron específicamente a una infracción del Artículo 33(1): PTSB no notificó a la DPC dentro de las 72 horas siguientes a tener conocimiento de las violaciones. Se impusieron otros 250 000 euros por infracciones relacionadas de los Artículos 5 y 32.
Booking.com: 475 000 Euros (Autoridad de Control Neerlandesa, 2021)
La autoridad de control neerlandesa multó a Booking.com con 475 000 euros después de que la empresa notificara a la autoridad 22 días después de tener conocimiento de una violación que expuso datos personales (incluida información financiera y datos de pasaporte) de más de 4000 clientes. El retraso se citó como una infracción independiente del Artículo 33(1). El caso sigue siendo un punto de referencia clave en las orientaciones de las autoridades de control sobre lo que constituye un retraso inaceptable en la notificación.
La Notificación de Brechas en Contexto: Cómo se Comparan Otras Jurisdicciones
La regla de las 72 horas del RGPD figura entre los plazos de notificación de brechas más estrictos del mundo. Una comparación general:
| Jurisdicción | Ley | Notificar a la Autoridad | Notificar a las Personas | Detonante |
|---|---|---|---|---|
| UE/EEE | RGPD | 72 horas | Sin dilación indebida (alto riesgo) | Riesgo para las personas |
| Reino Unido | RGPD del Reino Unido | 72 horas | Sin dilación indebida (alto riesgo) | Igual que el RGPD de la UE |
| EE. UU. (salud) | HIPAA | 60 días | 60 días (medios si son 500+) | Información de salud protegida no segura |
| EE. UU. (estatal) | Varias | 72 horas a 30 días | Sin dilación irrazonable | Información personal comprometida |
| Canadá | PIPEDA | Tan pronto como sea posible | Tan pronto como sea posible | Riesgo real de daño significativo |
| Australia | Esquema NDB | 30 días | Tan pronto como sea factible | Probable daño grave |
Superposición con la NIS2. La Directiva NIS2, que todos los Estados miembros de la UE debían transponer antes de octubre de 2024, impone una alerta temprana separada de 24 horas seguida de una notificación completa a las 72 horas al CSIRT nacional o a la autoridad competente, para incidentes de ciberseguridad significativos en entidades esenciales e importantes. Una organización sujeta tanto al RGPD como a la NIS2 puede necesitar notificar a dos autoridades separadas sobre el mismo incidente: la autoridad de control (APD) conforme al Artículo 33 del RGPD, y la autoridad competente o el CSIRT de la NIS2. Ambos regímenes tienen umbrales y contenido exigido diferentes.
Infraestructura de Respuesta a Brechas
Las organizaciones que gestionan bien las violaciones normalmente han construido lo siguiente antes de que ocurra cualquier incidente.
Capacidad de detección. Las obligaciones de notificación de brechas son imposibles de cumplir sin la capacidad técnica para detectarlas rápidamente. Los sistemas de detección de intrusiones, las herramientas SIEM, el monitoreo de endpoints y la detección de anomalías deben generar alertas accionables que lleguen al personal correspondiente dentro de las horas siguientes a un incidente.
Un equipo de respuesta designado. Asigne roles antes de un incidente: coordinador de incidentes, responsable de TI/seguridad, contacto legal o del DPO, responsable de comunicaciones, y escalamiento ejecutivo. Todos deben conocer su rol y estar localizables fuera del horario laboral.
Un marco de evaluación de riesgo. Una plantilla de puntuación preaprobada (que cubra las categorías de datos, el número de personas, la probabilidad de daño y la gravedad) permite a su equipo realizar las evaluaciones de umbral de los Artículos 33 y 34 de forma rápida y consistente. La rapidez en esta etapa afecta directamente a si logra cumplir el plazo de 72 horas.
Plantillas de notificación. Redacte formularios de notificación a la autoridad de control y cartas a los interesados para los escenarios de violación más comunes (robo de credenciales, dispositivo perdido, compromiso del sistema, divulgación accidental) antes de que ocurra un incidente. Las plantillas preaprobadas ahorran horas críticas durante la respuesta.
Procedimientos del encargado. Confirme que sus encargados clave cuentan con procedimientos documentados de detección y notificación de brechas, que sus contratos especifican el plazo de notificación, y que usted dispone de contactos de escalamiento fuera del horario laboral.
Un registro de brechas probado. El formato del registro debe estar establecido y ser comprendido por las personas responsables de completarlo. Los registros no probados a menudo tienen carencias que solo se hacen visibles durante una investigación de la autoridad de control.
Ejercicios de simulación. Realice al menos un ejercicio de escenario por año. Recorra el proceso desde la detección hasta la evaluación, la notificación y la remediación. Identifique dónde falla el proceso.
Referencia del Calendario de Notificación
| Ventana | Acción |
|---|---|
| Hora 0 | Se detecta o reporta la violación al personal responsable |
| Horas 0-4 | Contención inicial; preservación de evidencia; notificación al equipo de respuesta interno |
| Horas 4-24 | Identificación de los datos afectados, volúmenes aproximados y tipo de violación; evaluación de riesgo inicial |
| Horas 24-48 | Preparación de la notificación a la autoridad de control con la información disponible |
| Horas 48-72 | Presentación de la notificación (o documentación y finalización de la decisión de no notificar, con el razonamiento completo) |
| Hora 72+ | Complemento de la notificación a medida que continúa la investigación; evaluación del deber del Artículo 34 respecto de los interesados; implementación de la remediación |
Más Guías del RGPD
- ¿Qué Es el RGPD? para una visión completa del reglamento
- Lista de Verificación de Cumplimiento del RGPD para una guía de cumplimiento paso a paso
- Multas y Sanciones del RGPD para datos de ejecución y la estructura sancionadora
- Derechos de los Interesados del RGPD para los ocho derechos individuales
- Requisitos de Consentimiento del RGPD para los estándares de consentimiento válido
- RGPD para Pequeñas Empresas para orientación específica de pymes
- Leyes de Privacidad de Datos de la UE para la visión completa de la protección de datos de la UE
Preguntas frecuentes
¿Qué es la regla de las 72 horas conforme al RGPD?
Conforme al Artículo 33(1), los responsables del tratamiento deben notificar a su autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de una violación de datos personales que pueda entrañar un riesgo para los derechos y libertades de las personas. La notificación debe realizarse sin dilación indebida y, de ser posible, dentro del plazo de 72 horas. Si no se realiza dentro de las 72 horas, debe ir acompañada de una justificación motivada del retraso. El plazo comienza cuando el responsable tiene un grado razonable de certeza de que se ha producido una violación, no cuando finaliza la investigación.
¿Todas las violaciones de datos deben reportarse a la autoridad de control?
No. Solo las violaciones que puedan entrañar un riesgo para los derechos y libertades de las personas deben reportarse a la autoridad de control. Sin embargo, todas las violaciones, incluidas las que no alcanzan el umbral de notificación, deben documentarse en el registro interno de brechas conforme al Artículo 33(5). Cuando la evaluación de riesgo es incierta, el CEPD recomienda inclinarse por la notificación.
¿Cuál es la diferencia entre notificar a la autoridad de control y notificar a los interesados?
El Artículo 33 exige la notificación a la autoridad de control cuando una violación plantea un riesgo para las personas (el umbral inferior), dentro de las 72 horas. El Artículo 34 exige la notificación a los interesados cuando una violación pueda entrañar un alto riesgo (el umbral superior), sin dilación indebida. No toda violación que deba reportarse a la autoridad de control requiere también la notificación individual. La notificación al interesado no se exige si los datos estaban cifrados y la clave no se vio comprometida, si el riesgo se ha mitigado eficazmente, o si el contacto individual requeriría un esfuerzo desproporcionado (en cuyo caso se exige en su lugar una comunicación pública).
¿Cuándo comienza exactamente a correr el plazo de 72 horas?
El plazo comienza cuando el responsable tiene un grado razonable de certeza de que se ha producido un incidente de seguridad y de que se han visto afectados datos personales. Para las violaciones detectadas por sistemas internos, el conocimiento comienza cuando una persona responsable reconoce la alerta como indicativa de una probable violación. Para las violaciones reportadas por un encargado del tratamiento, el conocimiento comienza cuando el responsable recibe la notificación. Para los reportes externos, el conocimiento comienza cuando el responsable recibe información creíble. El plazo no espera a que finalice la investigación.
¿Qué debe hacer un encargado del tratamiento cuando descubre una violación?
Conforme al Artículo 33(2), los encargados del tratamiento deben notificar al responsable sin dilación indebida tras tener conocimiento de una violación. El RGPD no establece un límite fijo de horas, pero las Directrices 9/2022 del CEPD recomiendan que los encargados procuren notificar a los responsables dentro de las 72 horas siguientes a su propio descubrimiento, ya que el plazo de 72 horas del responsable frente a la autoridad de control depende de la notificación oportuna del encargado. Los acuerdos de tratamiento de datos del Artículo 28 deben especificar plazos máximos de notificación (comúnmente 24 horas) y la información mínima que debe proporcionar el encargado.
¿Puede proporcionarse la notificación de brecha por fases?
Sí. El Artículo 33(4) permite expresamente la notificación por fases. Si no se dispone de toda la información exigida dentro de las 72 horas, el responsable debe presentar una notificación inicial con la información disponible dentro de ese plazo, y proporcionar información complementaria sin mayor dilación indebida. Este mecanismo existe precisamente porque las investigaciones de brechas requieren tiempo. Presentar una notificación por fases es mucho mejor que esperar el panorama completo e incumplir el plazo por completo.
¿Qué información debe incluirse en la notificación a la autoridad de control?
El Artículo 33(3) exige: la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y registros de datos afectados; el nombre y los datos de contacto del DPO u otro punto de contacto; una descripción de las probables consecuencias de la violación; y las medidas adoptadas o propuestas para abordar la violación, incluidas las medidas para mitigar los posibles efectos adversos. La decisión de la DPC contra Meta de diciembre de 2024 demuestra que las notificaciones incompletas que carecen del contenido exigido se tratan como una infracción separada del Artículo 33(3).
¿Qué debe incluirse en el registro de brechas?
El Artículo 33(5) exige que el registro documente los hechos de cada violación (qué ocurrió, cómo y cuándo se descubrió); los efectos sobre las personas; las medidas correctivas adoptadas; la evaluación de riesgo, incluido el razonamiento; y la justificación para notificar o no notificar a la autoridad de control. El registro cubre todas las violaciones, no solo las reportadas. Debe estar disponible para la autoridad de control cuando lo solicite, y constituye el principal rastro de auditoría del cumplimiento en materia de brechas.
¿Cómo se compara la regla de las 72 horas del RGPD con la HIPAA y las leyes estatales de EE. UU.?
El plazo de 72 horas del RGPD para la notificación a la autoridad de control es más estricto que la mayoría de los marcos comparables. La HIPAA otorga a las entidades cubiertas 60 días para notificar a la Oficina de Derechos Civiles y a las personas afectadas. Las leyes estatales de brechas de EE. UU. varían, pero la mayoría exigen la notificación sin dilación irrazonable, con algunas que fijan plazos específicos de entre 72 horas y 30 días. El esquema de Violaciones de Datos Notificables de Australia permite 30 días para notificar a la OAIC. La PIPEDA de Canadá exige la notificación tan pronto como sea posible. El Reino Unido sigue la misma regla de las 72 horas que el RGPD de la UE, conforme al RGPD del Reino Unido.
¿Qué multas se aplican por incumplir el plazo de 72 horas?
La notificación de brecha tardía o inexistente se rige por el Artículo 83(4), que establece una multa máxima de 10 millones de euros o el 2 % de la facturación anual mundial total, la cifra que sea mayor. La notificación tardía es una infracción independiente: se puede multar por incumplir el plazo incluso si la violación subyacente no constituyó en sí misma una infracción grave del RGPD. Entre los ejemplos notables se incluyen Booking.com (475 000 euros por notificar con 22 días de retraso) y Permanent TSB (27 500 euros específicamente por notificación tardía, parte de una multa mayor de 277 500 euros en mayo de 2026).
Fuentes y referencias
- Texto Completo del RGPD, Reglamento (UE) 2016/679(eur-lex.europa.eu).gov
- Directrices 9/2022 del CEPD sobre la Notificación de Violaciones de Datos Personales, v2.0 (Abril de 2023)(edpb.europa.eu).gov
- Directrices 01/2021 del CEPD sobre Ejemplos Relativos a la Notificación de Violaciones de Datos Personales(edpb.europa.eu).gov
- Compendio de Casos de Ventanilla Única del CEPD: Seguridad del Tratamiento y Notificación de Violaciones de Datos (2024)(edpb.europa.eu).gov
- Comisión Europea, ¿Qué Es una Violación de Datos?(commission.europa.eu).gov
- CEPD, Notificación de Violaciones a la Autoridad de Control conforme al Artículo 33(edpb.europa.eu).gov
- CEPD, Violaciones de Datos (Guía para Pymes)(edpb.europa.eu).gov
- CEPD, Cómo Notificar una Violación de Datos a su Autoridad de Control(edpb.europa.eu).gov
- ICO, Violaciones de Datos Personales: una Guía(ico.org.uk).gov
- SEPD, Directrices sobre la Notificación de Violaciones de Datos Personales(edps.europa.eu).gov
- DPC de Irlanda, Multa a Meta de 251 Millones de Euros (Diciembre de 2024)(dataprotection.ie).gov
- DPC de Irlanda, Multa a Permanent TSB de 277 500 Euros (Mayo de 2026)(dataprotection.ie).gov
- CEPD, Investigación de la DPC de Irlanda sobre Bank of Ireland Group(edpb.europa.eu).gov
- DLA Piper, las Violaciones de Datos Personales en Europa Alcanzan 443 al Día (Febrero de 2026)(dlapiper.com)
- Directiva NIS2, Directiva (UE) 2022/2555(eur-lex.europa.eu).gov
- CEPD, Resumen de las Directrices 9/2022 y 01/2021 sobre la Notificación de Violaciones de Datos (2025)(edpb.europa.eu).gov