Loading…
Una brecha de datos personales pone en marcha un reloj regulatorio que no se detiene los fines de semana, los días festivos ni por la disponibilidad de los directivos. En virtud del artículo 33 del GDPR, dispone de 72 horas desde que tenga conocimiento para notificar a la Autoridad de Control. La Regla 7 de la DPDPA, la Sección 26B de la PDPA y la Resolución 15/2024 de la LGPD establecen plazos similares.
Este manual divide las 72 horas en cinco fases con nombre propio (Detección, Contención, Evaluación, Documentación, Presentación) con entregables concretos en cada punto de control. Úselo como manual operativo: cuando algo está ardiendo, no quiere estar redactando el proceso. Quiere estar ejecutándolo.
El artículo 33 dice "a más tardar 72 horas después de que haya tenido constancia de ella." El conocimiento se produce cuando el responsable del tratamiento tiene un grado razonable de certeza de que se ha producido un incidente de seguridad y de que están implicados datos personales. No es:
Las Directrices 9/2022 del EDPB sobre la notificación de brechas de datos personales permiten un breve periodo de investigación para alcanzar el conocimiento, pero ese periodo debe ser breve: cuestión de horas, no de días.
Objetivo: Confirmar que se ha producido un incidente, preservar las pruebas forenses y activar al equipo de respuesta.
Entregable en T+6h: Resumen del incidente de una página: qué ocurrió, cuándo, qué sistemas, qué categorías de datos pueden estar implicadas y qué incógnitas conocidas existen.
Objetivo: Detener la hemorragia, aislar los sistemas afectados y notificar a las partes externas urgentes.
Entregable en T+24h: Confirmación de la contención; declaración preliminar del alcance.
Objetivo: Determinar la magnitud y el daño probable: esto impulsa todas las decisiones posteriores.
Entregable en T+48h: Evaluación del riesgo de daño; matriz de decisión de notificación; plantilla de notificación borrador cumplimentada.
Objetivo: Construir el documento que va a presentar, cerrar el registro interno e informar a las partes interesadas.
Entregable en T+72h: Notificación lista para presentar; registro interno completo.
Objetivo: Notificar a los reguladores dentro del plazo legal y comunicarse con los titulares de los datos cuando sea necesario.
Entregable en T+72h+: Acuse de recibo de la presentación; comunicaciones a los titulares de los datos enviadas (o decisión documentada de no comunicar); revisión posterior al incidente programada en un plazo de 14 días.
| Regulador | Plazo legal | Umbral |
|---|---|---|
| Autoridad de Control de la UE (GDPR) | 72 horas desde el conocimiento (art. 33) | Salvo que sea improbable que constituya un riesgo para los derechos y las libertades |
| ICO (UK GDPR) | 72 horas desde el conocimiento | Mismo umbral basado en el riesgo |
| CPPA / Fiscal General de California (CCPA) | "En el plazo más expedito posible" (Cal. Civ. Code §1798.82) | Afectar a más de 500 residentes de California activa el aviso al Fiscal General |
| Consejo de Protección de Datos de la India (DPDPA) | Sin demora; detalles en la Regla 7 | Todas las brechas de datos personales |
| CERT-In (Directrices de la IT Act de la India de 2022) | 6 horas desde su detección | Categorías de incidentes designadas (ransomware, DDOS, desfiguración, etc.) |
| PDPC (PDPA de Singapur) | 72 horas después de que la evaluación confirme una brecha notificable | Daño significativo O más de 500 personas |
| ANPD (LGPD de Brasil) | 3 días hábiles desde la confirmación (Res. 15/2024) | Riesgo o daño relevante para los titulares de los datos |
| PPC (APPI de Japón) | Sin demora (normalmente días, no semanas) | Fuga de datos sensibles, pérdida financiera, intención maliciosa, o más de 1.000 registros |
El fallo organizativo más común es la falta de claridad sobre la responsabilidad entre el DPO y la Asesoría Jurídica General respecto de la presentación real ante el regulador. Resuélvalo de antemano: la mayoría de los equipos optan por que el DPO redacte bajo el privilegio de la asesoría, figurando el DPO como el contacto nombrado en la propia presentación.
El artículo 34 del GDPR activa la comunicación a los titulares de los datos cuando existe un riesgo alto para los derechos y las libertades. El estándar es más alto que el umbral de notificación a la autoridad de control. Ejemplos que justifican la notificación:
El artículo 34(3) enumera tres exenciones a la comunicación directa: el cifrado que hace los datos ininteligibles para personas no autorizadas, medidas que eliminan el riesgo alto, o un esfuerzo desproporcionado que pueda sustituirse por una comunicación pública.
Contenido de la notificación (artículo 34(2)): naturaleza de la brecha, nombre y contacto del DPO, consecuencias probables, medidas adoptadas. En lenguaje sencillo.
No. El artículo 33 se expresa en horas, no en días hábiles. Algunos reguladores (LGPD, PDPA de Singapur) definen los plazos en días hábiles; consulte el régimen específico.
El artículo 33(1) permite una notificación posterior "acompañada de los motivos de la dilación." Las autoridades de control lo aceptan, pero lo examinan. Las demoras recurrentes son un detonante de la aplicación de sanciones.
El artículo 33(2) exige que el encargado del tratamiento notifique al responsable "sin dilación indebida." Su acuerdo de tratamiento de datos probablemente especifica un plazo más estricto (a menudo de 24 a 48 horas). La notificación a la autoridad de control es obligación del responsable, pero el encargado debe proporcionarle suficiente información y tiempo para cumplir el plazo de 72 horas.
Para cualquier caso material, sí. La asesoría externa establece el privilegio sobre el producto del trabajo de investigación y reduce significativamente la exposición a la fase de exhibición de pruebas en litigios posteriores. Un seguro barato.
Ejercicio teórico trimestral con un escenario realista basado en inyecciones de eventos, comprimido en el tiempo a 90 minutos para simular la ventana de 72 horas. Registre el retraso en la toma de decisiones en cada transición de fase. Utilice el mismo conjunto de contenidos del Artículo 33(3) que presentaría en un caso real.
RegulatoryBridge gestiona la respuesta a brechas 24×7 — mando de incidentes, notificación al regulador, comunicación a los interesados — bajo secreto profesional. Active el servicio en cuestión de minutos.