Brechas de seguridad y filtraciones de datos: qué debe hacer una empresa en las primeras 72 horas

por | Mar 10, 2026 | Blog especializado en Protección de Datos

brecha de seguridad

Las brechas de seguridad de datos personales son uno de los incidentes más graves que puede sufrir una empresa. Un ataque informático, una pérdida de información o el acceso no autorizado a datos puede poner en riesgo la privacidad de clientes, empleados o proveedores.

El Reglamento General de Protección de Datos (RGPD) obliga a las empresas a actuar con rapidez ante este tipo de situaciones. En muchos casos, existe la obligación de notificar la brecha a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

En Acorán ayudamos a empresas a gestionar incidentes de seguridad y a cumplir correctamente con la normativa de protección de datos, minimizando riesgos legales y reputacionales.

En este artículo explicamos qué se considera brecha de seguridad y qué pasos debe seguir una empresa inmediatamente después de detectarla.

Cuando se produce una brecha de seguridad de datos personales, una empresa debe:

  1. Identificar el incidente y evaluar su impacto

  2. Contener el problema lo antes posible

  3. Analizar qué datos se han visto afectados

  4. Documentar el incidente internamente

  5. Notificar a la AEPD en menos de 72 horas si existe riesgo

  6. Informar a los afectados cuando el riesgo sea alto

Actuar rápido es clave para reducir el impacto legal y reputacional.

Qué se considera una brecha de seguridad según el RGPD

El RGPD define una brecha de seguridad como cualquier incidente que provoque:

  • destrucción de datos personales

  • pérdida de información

  • alteración de datos

  • acceso no autorizado

  • divulgación de información confidencial

Esto significa que una brecha no siempre implica un ciberataque. También puede producirse por errores humanos o fallos técnicos.

Ejemplos habituales de brechas de seguridad

Algunos casos frecuentes en empresas incluyen:

  • robo o pérdida de ordenadores portátiles con datos personales

  • envío de información confidencial al destinatario equivocado

  • acceso no autorizado a bases de datos

  • hackeo de sistemas informáticos

  • filtración de contraseñas

Incluso errores aparentemente simples pueden convertirse en incidentes graves de protección de datos.

Qué debe hacer una empresa tras detectar una brecha de seguridad

Cuando se detecta una brecha de seguridad, el tiempo es un factor crítico.

Las primeras horas son clave para contener el incidente y evaluar su impacto.

1. Detectar y contener el incidente

Lo primero es identificar qué ha ocurrido y detener el problema.

Por ejemplo:

  • bloquear accesos comprometidos

  • desconectar sistemas afectados

  • cambiar contraseñas

  • aislar equipos infectados

El objetivo es evitar que la brecha continúe o se amplíe.

2. Evaluar el impacto del incidente

Una vez controlado el problema, es necesario analizar:

  • qué datos se han visto afectados

  • cuántas personas pueden verse perjudicadas

  • si los datos incluyen información sensible

No todos los incidentes tienen el mismo nivel de riesgo.

Por ejemplo, no es lo mismo perder una base de datos de emails que filtrar datos de salud o información financiera.

3. Documentar la brecha de seguridad

El RGPD obliga a las empresas a documentar cualquier incidente de seguridad, incluso cuando no sea necesario notificarlo.

Esta documentación debe incluir:

  • fecha del incidente

  • tipo de brecha

  • datos afectados

  • número aproximado de personas afectadas

  • medidas adoptadas

Este registro permite demostrar el cumplimiento normativo ante la AEPD.

Cuándo es obligatorio notificar una brecha a la AEPD

No todas las brechas deben notificarse a la autoridad de control.

La notificación es obligatoria cuando existe riesgo para los derechos y libertades de las personas.

Por ejemplo:

  • filtración de datos personales identificativos

  • exposición de información financiera

  • acceso a historiales médicos

  • robo de credenciales o contraseñas

Cuando existe ese riesgo, la empresa debe notificar la brecha a la AEPD en un máximo de 72 horas desde que tiene conocimiento del incidente.

Si la notificación se realiza fuera de plazo, será necesario justificar el retraso.

Cuándo hay que informar a los afectados

Además de notificar a la AEPD, en algunos casos también es obligatorio informar directamente a las personas afectadas.

Esto ocurre cuando la brecha puede generar un alto riesgo para sus derechos o libertades.

Por ejemplo:

  • filtración de datos bancarios

  • exposición de contraseñas

  • acceso a datos de salud

En estas situaciones, las personas afectadas deben recibir información clara sobre:

  • qué ha ocurrido

  • qué datos se han visto comprometidos

  • qué medidas pueden tomar para protegerse

Ejemplos reales de sanciones por brechas de seguridad

La AEPD ha sancionado a numerosas empresas por gestionar incorrectamente incidentes de seguridad.

Entre las infracciones más comunes se encuentran:

  • no notificar la brecha dentro del plazo de 72 horas

  • no aplicar medidas de seguridad adecuadas

  • no documentar el incidente

Las sanciones pueden ser importantes, especialmente si se demuestra negligencia en la gestión del incidente.

El RGPD establece multas que pueden alcanzar hasta 20 millones de euros o el 4 % del volumen de negocio anual global.

Cómo prevenir brechas de seguridad en una empresa

Aunque no siempre es posible evitar un incidente, sí se pueden reducir considerablemente los riesgos.

Algunas medidas clave incluyen:

  • implementar políticas de seguridad de la información

  • controlar accesos a bases de datos

  • cifrar información sensible

  • formar a empleados en ciberseguridad

  • realizar auditorías periódicas

En Acorán ayudamos a las empresas a implantar sistemas de cumplimiento en protección de datos y seguridad de la información, reduciendo el riesgo de filtraciones y garantizando la respuesta adecuada ante incidentes.

 

Conclusión

Las brechas de seguridad de datos personales son incidentes cada vez más frecuentes en empresas de todos los tamaños.

El RGPD establece obligaciones claras sobre cómo actuar ante estos incidentes, especialmente durante las primeras 72 horas.

Actuar con rapidez, documentar correctamente el incidente y notificar cuando sea necesario son aspectos fundamentales para cumplir la normativa.

Contar con asesoramiento especializado permite a las empresas reaccionar correctamente ante una brecha de seguridad y minimizar posibles sanciones.

Preguntas frecuentes sobre brechas de seguridad de datos

¿Qué es una brecha de seguridad de datos personales?

Es cualquier incidente que provoque pérdida, acceso no autorizado o divulgación de datos personales.

¿Cuánto tiempo tiene una empresa para notificar una brecha?

La empresa debe notificarla a la AEPD en un máximo de 72 horas desde que tiene conocimiento del incidente.

¿Siempre hay que notificar una brecha de seguridad?

No. Solo cuando la brecha supone un riesgo para los derechos y libertades de las personas.

¿Cuándo se debe informar a los afectados?

Cuando la brecha puede generar un alto riesgo, como en casos de filtración de datos financieros o de salud

Otros artículos de interés:

Videovigilancia en empresas

Empresa de Protección de Datos en Madrid | Acorán
Resumen de privacidad

Desde este panel podrá configurar las cookies que el sitio web puede instalar en su navegador, excepto las cookies técnicas o funcionales que son necesarias para la navegación y la utilización de las diferentes opciones o servicios que se ofrecen.

Las cookies seleccionadas indican que el usuario autoriza la instalación en su navegador y el tratamiento de datos bajo las condiciones reflejadas en la Política de cookies.

El usuario puede marcar o desmarcar el selector según se desee aceptar o rechazar la instalación de cookies.