Última revisión: abril de 2025
Aprobación: 25/04/2025

1. Introducción

En cumplimiento del Reglamento General de Protección de Datos (RGPD) y la LOPDGDD, toda brecha que afecte a datos personales debe ser notificada a la Agencia Española de Protección de Datos (AEPD) y, en su caso, comunicada a las personas afectadas.
Una brecha de seguridad puede suponer un riesgo para los derechos y libertades de las personas, por lo que la organización dispone de un procedimiento interno de detección, evaluación, notificación y comunicación de incidentes relacionados con datos personales.

2. Qué se considera una brecha de datos personales

Se entiende por brecha de datos personales cualquier violación de la seguridad que provoque:

  • Destrucción, pérdida o alteración accidental o ilícita de datos personales.
  • Acceso o comunicación no autorizada de esos datos.

No todos los incidentes de seguridad son brechas, pero toda brecha debe ser analizada y documentada.

3. Proceso de actuación

Cuando se detecta una posible brecha:

  1. Detección y evaluación: se analiza el incidente y su posible impacto.
  2. Notificación interna: el encargado del tratamiento informa inmediatamente al responsable.
  3. Valoración del riesgo: se determina si el incidente supone riesgo o alto riesgo para las personas.
  4. Notificación externa: si procede, se notifica a la AEPD.
  5. Comunicación a los afectados: si hay alto riesgo, se contacta con las personas afectadas de forma clara y directa.
  6. Registro: toda la información del incidente y las medidas adoptadas se documentan.

4. Contenido de la notificación

La comunicación a la AEPD debe incluir:

  • Descripción del incidente y número aproximado de afectados.
  • Datos de contacto del Delegado de Protección de Datos (DPD).
  • Posibles consecuencias de la brecha.
  • Medidas adoptadas o propuestas para mitigar los efectos.

5. Tipología de brechas

Las brechas pueden afectar a:

  • Confidencialidad: acceso no autorizado a los datos.
  • Integridad: modificación no autorizada.
  • Disponibilidad: pérdida o inaccesibilidad de los datos.

6. Posibles consecuencias

Las brechas pueden ocasionar perjuicios como pérdida de control sobre los datos, daños económicos, suplantación de identidad, perjuicios reputacionales o discriminación.

7. Medidas preventivas

Antes de que ocurra una brecha, la organización aplica medidas como:

  • Políticas de seguridad y formación del personal.
  • Sistemas actualizados y auditados.
  • Control de accesos físicos y lógicos.
  • Copias de seguridad y planes de recuperación.
  • Registro de incidentes y evaluaciones de impacto.

8. Contacto

Para cualquier comunicación relacionada con brechas de datos personales o dudas sobre este procedimiento, puede contactar con el Delegado de Protección de Datos a través del canal oficial de la organización.