La regla de las 72 horas: cómo notificar una violación de datos del GDPR sin desencadenar sanciones adicionales

Una violación de datos personales es un incidente de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Con arreglo a los artículos 33 y 34 del RGPD, la forma en que su organización responda a una violación puede tener consecuencias tan graves como la propia violación. La notificación tardía o inadecuada se considera una infracción independiente, que a menudo conlleva su propia sanción.

Comprender el plazo de 72 horas

El artículo 33, apartado 1, exige que el responsable del tratamiento notifique a la autoridad de control competente sin dilación indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de una violación de datos personales. El reloj empieza a contar no cuando se produce la violación, sino cuando la organización tiene conocimiento de ella. Esta distinción es importante: una violación que se produjo hace semanas, pero que no se ha descubierto hasta hoy, activa la obligación de 72 horas desde el momento del descubrimiento.

Si la notificación no se realiza en un plazo de 72 horas, el responsable del tratamiento debe justificar el retraso. Las autoridades de control han mostrado una tolerancia limitada hacia los retrasos infundados. La Autoridad de Protección de Datos neerlandesa (Autoriteit Persoonsgegevens) ha impuesto multas específicamente por notificación tardía, considerándola una infracción distinta en virtud del artículo 83, apartado 4, letra a).

¿Qué constituye una infracción notificable?

No todos los incidentes de seguridad requieren notificación a la autoridad de control. El artículo 33, apartado 1, matiza la obligación: la notificación es necesaria a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas físicas. Este umbral basado en el riesgo significa que debe evaluar cada violación individualmente.

Las Directrices 01/2021 del OEPD sobre ejemplos relativos a la notificación de violaciones de datos personales ofrecen una taxonomía útil de supuestos notificables y no notificables:

Probablemente denunciable:

• Un ataque de ransomware encripta los historiales de los pacientes de un hospital
• Acceso no autorizado a una base de datos de clientes con información financiera
• Envío a un destinatario externo de un correo electrónico erróneo con datos salariales de un empleado
• Robo de un portátil con datos personales sin cifrar
• Filtración de datos personales por un intruso malintencionado

Probablemente no notificable:

• Pérdida o robo de un ordenador portátil cifrado cuya clave de cifrado no se haya visto comprometida
• Breve interrupción del suministro eléctrico que provoca la inaccesibilidad temporal de los datos sin pérdida permanente.
• Correo electrónico interno mal dirigido cuyo destinatario está sujeto a obligaciones de confidencialidad y confirma su supresión

En caso de duda, hay que optar por la notificación. Las autoridades supervisoras son mucho más comprensivas con las organizaciones que notifican una violación que resulta ser de bajo riesgo que con las que no notifican una violación que más tarde resulta ser significativa.

Requisitos de contenido de las notificaciones

El apartado 3 del artículo 33 especifica la información mínima que debe incluirse en una notificación de la autoridad de control:

1. Una descripción de la naturaleza de la violación, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.
2. El nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto.
3. Una descripción de las consecuencias probables de la infracción.
4. Una descripción de las medidas adoptadas o propuestas para hacer frente al incumplimiento, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.

Cuando no sea posible facilitar toda la información al mismo tiempo, ésta podrá facilitarse por fases (apartado 4 del artículo 33). Muchas autoridades de supervisión aceptan una notificación inicial seguida de informes complementarios a medida que avanza la investigación.

¿Cuándo debe notificarse a los interesados?

El artículo 34 impone la obligación adicional de notificar directamente a las personas afectadas cuando sea probable que la violación suponga un alto riesgo para sus derechos y libertades. El umbral es más alto que el de la notificación a la autoridad de control: alto riesgo en lugar de mero riesgo.

La comunicación a los interesados debe hacerse en un lenguaje claro y sencillo y describir la naturaleza de la violación, los datos de contacto del RPD, las consecuencias probables y las medidas adoptadas para solucionarla. La notificación directa no es necesaria cuando:

• El responsable del tratamiento ha aplicado medidas técnicas adecuadas (como el cifrado) que hacen que los datos sean ininteligibles para personas no autorizadas.
• El responsable del tratamiento ha tomado medidas posteriores que garantizan que ya no es probable que se materialice el alto riesgo.
• La notificación individual supondría un esfuerzo desproporcionado, en cuyo caso se permite una comunicación pública o medida similar.

Desarrolle su capacidad de respuesta ante las filtraciones

Una respuesta eficaz ante una violación no se improvisa. Requiere preparación, documentación y pruebas periódicas. El siguiente marco ayudará a su organización a responder eficazmente cuando se produzca una brecha:

Paso 1: Detección y escalada

Implemente controles técnicos (detección de intrusos, supervisión de registros, detección de puntos finales) y establezca vías de escalado claras. Todos los empleados deben saber cómo informar internamente de una sospecha de violación. Defina un equipo de respuesta a infracciones con representantes de TI, jurídicos, de comunicación y de la alta dirección.

Paso 2: Evaluación inicial

En las horas siguientes a la detección, evalúe la naturaleza y el alcance de la violación. Determine qué datos se han visto afectados, cuántas personas están implicadas, si la violación está en curso y el impacto probable. Esta evaluación determinará sus decisiones de notificación.

Paso 3: Contención

Tome medidas inmediatas para contener la brecha. Esto puede incluir el aislamiento de los sistemas afectados, la revocación de las credenciales comprometidas, el bloqueo de direcciones IP maliciosas o la activación de sistemas de copia de seguridad. Documente todas las acciones de contención y su calendario.

Paso 4: Notificación

Sobre la base de su evaluación de riesgos, prepare y presente su notificación a la autoridad de control en un plazo de 72 horas. Si la violación da lugar al artículo 34, prepare paralelamente las comunicaciones al interesado. Utilice plantillas ya preparadas para acelerar este proceso.

Paso 5: Investigación y reparación

Realice un análisis exhaustivo de la causa raíz. Identifique la vulnerabilidad explotada, los controles que fallaron y las medidas necesarias para evitar que se repita. Documente los hallazgos y aplique rápidamente las medidas correctoras.

Paso 6: Revisión posterior al incidente

Tras la respuesta inmediata, realice una revisión formal posterior al incidente con todas las partes interesadas. Actualice sus procedimientos de respuesta a la violación basándose en las lecciones aprendidas. Presente su informe final a la autoridad supervisora dentro del plazo requerido.

Errores comunes que hay que evitar

• No reconocer un incidente de seguridad como violación de datos personales
• Esperar a que finalice la investigación antes de notificarlo a la autoridad de control
• Proporcionar información incompleta o inexacta en la notificación inicial
• No documentar las infracciones consideradas de bajo riesgo (el apartado 5 del artículo 33 exige un registro de todas las infracciones).
• Subestimar el riesgo para los interesados para eludir las obligaciones de notificación
• No notificar a los interesados cuando se alcanza el umbral de alto riesgo del artículo 34

El plazo de notificación de 72 horas es ajustado, pero las organizaciones que se preparan con antelación (con procedimientos documentados, plantillas de notificación y un equipo de respuesta a la violación formado) pueden cumplir esta obligación de forma coherente. El coste de la preparación es insignificante en comparación con las sanciones y el daño a la reputación que se derivan de una respuesta a una infracción mal gestionada.