Guía del artículo 34 del RGPD

Deje de adivinar cuándo notificar a los interesados tras una brecha: obtenga el marco exacto

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma GRC alojada en Suiza que ayuda a los equipos de privacidad a gestionar las notificaciones de brechas del artículo 34 del RGPD en grupos empresariales multientidad.

Obtenga el marco de decisión paso a paso del artículo 34, plantillas de notificación y una lista de comprobación de coordinación multientidad que los equipos de privacidad de más de 50 organizaciones utilizan para gestionar las notificaciones de brechas sin conjeturas, pánico ni exposición regulatoria.

Sin spam. Acceso instantáneo a la lista de comprobación y las plantillas.

O siga leyendo para el desglose completo del artículo 34

Con la confianza de equipos de privacidad en

Utilizado por equipos de privacidad que gestionan el cumplimiento en más de 50 entidades de servicios financieros, farmacia, manufactura y tecnología, incluidos un fabricante de aeronaves, un proveedor sanitario y una empresa de tecnología médica.

50+

Entidades gestionadas

4,8/5

Valoración media de clientes (primer trimestre de 2025)

100%

Datos alojados en Suiza

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Lo que dicen los profesionales de la privacidad

Resultados de equipos de privacidad como el suyo

60 % menos de tiempo de administración

"Redujimos el tiempo de administración de cumplimiento en un 60 % en seis meses. Nuestra DPD ahora dedica tiempo a las evaluaciones de riesgos y a las decisiones estratégicas en lugar de perseguir documentación entre hojas de cálculo."

Responsable de protección de datos, fabricante de aeronaves

Fabricación aeronáutica, programa de privacidad multientidad

Más de 200 horas ahorradas

"Ahorramos más de 200 horas en documentación de cumplimiento y finalizamos la preparación para la ISO 27001 tres meses antes de lo previsto. Los paquetes de evidencias listos para auditoría estaban disponibles bajo demanda, lo que eliminó las prisas antes de las solicitudes de las autoridades de control."

Responsable de cumplimiento, una empresa de tecnología médica

Tecnología sanitaria, certificada ISO 27001

Coordinación de brechas 24/7

"Gestionamos el soporte de DPD y la coordinación de respuesta a brechas en múltiples entidades desde una única plataforma unificada. Los puntos ciegos jurisdiccionales que teníamos con los procesos basados en correo electrónico han desaparecido, y cada decisión de notificación queda registrada por entidad."

DPD del grupo, una empresa tecnológica

Tecnología, gestión de privacidad multientidad

Basado en resultados comunicados por los clientes. Datos del fabricante de aeronaves y de la empresa de tecnología médica correspondientes a los primeros 12 meses tras la implementación. Datos de la empresa tecnológica de la relación en curso.

Marco del artículo 34

El desglose completo del artículo 34: cuándo, qué y cómo notificar a los interesados

El artículo 34 es una de las disposiciones del RGPD que peor se interpretan. Notifique cuando no debe, y desencadenará un pánico innecesario. No notifique cuando debe, y se enfrentará a una acción de ejecución. Aquí tiene el marco para acertar.

Paso 1

Determine si la brecha alcanza el umbral de "alto riesgo"

El artículo 34(1) solo se activa cuando una brecha "entrañe un alto riesgo para los derechos y libertades de las personas físicas". Este es un listón más alto que la notificación a la autoridad de control del artículo 33, que se aplica a cualquier brecha que no sea improbable que entrañe un riesgo.

Factores que normalmente llevan una brecha al terreno de "alto riesgo":

  • Se ven afectadas categorías especiales de datos (salud, datos biométricos, origen racial/étnico, opiniones políticas)
  • Datos financieros que podrían facilitar el fraude (cuentas bancarias, números de tarjetas de crédito)
  • Un gran volumen de personas afectadas
  • Datos que podrían dar lugar a usurpación de identidad, discriminación o daño físico
  • Se ven afectados interesados vulnerables (menores, pacientes, empleados)
  • Los datos no estaban cifrados ni seudonimizados en el momento de la brecha

La pregunta clave no es "¿cómo de grave fue la brecha?", sino "¿cuál es la probabilidad de que las personas afectadas sufran un daño real?". Su evaluación de riesgos debe documentar el razonamiento, ya que las autoridades de control lo solicitarán.

Paso 2

Compruebe las tres excepciones que eliminan la obligación de notificar

El artículo 34(3) prevé tres excepciones. Si se aplica alguna de ellas, no está obligado a notificar a los interesados, pero aun así debe documentar por qué se aplica la excepción.

Excepción (a): se habían implantado medidas de protección adecuadas

Aplicó medidas técnicas y organizativas que hacen ininteligibles los datos personales para cualquier persona no autorizada a acceder a ellos. El ejemplo más habitual es el cifrado: si los datos afectados estaban cifrados con un algoritmo robusto y la clave no se vio comprometida, es probable que se aplique esta excepción.

Excepción (b): medidas posteriores eliminan el riesgo

Tomó medidas inmediatas tras la brecha que garantizan que ya no sea probable que se materialice el alto riesgo para los interesados. Por ejemplo, identificó y contuvo la brecha antes de que realmente se accediera a ningún dato, o borró de forma remota un dispositivo perdido antes de que se desbloqueara.

Excepción (c): esfuerzo desproporcionado

Si la notificación individual supusiera un esfuerzo desproporcionado (por ejemplo, no puede identificar o contactar a todas las personas afectadas), debe realizar en su lugar una comunicación pública o adoptar una medida similar que informe a los interesados de forma igualmente eficaz. Esta es la excepción que con más frecuencia se aplica de forma incorrecta; las autoridades de control interpretan el "esfuerzo desproporcionado" de manera restrictiva.

Paso 3

Redacte el contenido de la notificación

El artículo 34(2) remite al artículo 33(3)(b), (c) y (d). Su notificación a los interesados debe incluir cuatro elementos, comunicados "en un lenguaje claro y sencillo":

  • La naturaleza de la brecha: describa lo que ocurrió en términos que el destinatario pueda entender. Evite la jerga jurídica y el lenguaje técnico. "Un tercero no autorizado accedió a la información de su cuenta" es mejor que "se produjo un incidente de seguridad con exposición de credenciales".
  • Datos de contacto del DPD: el nombre y los datos de contacto de su delegado de protección de datos u otro punto de contacto donde puedan obtener más información.
  • Consecuencias probables: sea honesto y específico. "Esto puede significar que su dirección de correo electrónico y su contraseña están a disposición de terceros no autorizados, que podrían usarlas para acceder a otras cuentas si utiliza la misma contraseña" es más útil que "puede existir un riesgo para sus datos personales".
  • Medidas de mitigación: describa lo que ha hecho y lo que recomienda que hagan: restablecimiento de contraseñas, supervisión de cuentas, bloqueo de crédito, puntos de contacto para preguntas.
Paso 4

Elija el canal de comunicación adecuado

El RGPD no prescribe un canal específico, pero la notificación debe llegar realmente a las personas afectadas. Tenga en cuenta:

  • Correo electrónico directo: lo más habitual en brechas en línea. Asegúrese de enviar a direcciones verificadas y de poder evidenciar la entrega.
  • Correo postal: adecuado para brechas que afectan a datos fuera de línea o cuando no se dispone de direcciones de correo electrónico.
  • Página de incidentes dedicada: útil como complemento, pero normalmente insuficiente como único método de notificación.
  • Notificación dentro de la aplicación: puede funcionar para usuarios activos de un servicio digital, pero deja fuera a las cuentas inactivas.

Documente el razonamiento de su elección de canal. Si una autoridad de control le pregunta por qué eligió el correo electrónico en lugar del correo postal para una brecha que afecta a pacientes de edad avanzada, necesita una respuesta defendible.

Paso 5

Ejecute la notificación y conserve la pista de auditoría

El artículo 34 dice "sin dilación indebida". A diferencia del plazo de 72 horas del artículo 33, no hay un reloj fijo, pero las autoridades de control esperan que actúe en cuanto disponga de información suficiente para ofrecer orientación útil.

Lo que debe recoger su pista de auditoría:

  • Marca de tiempo de la decisión de evaluación de riesgos
  • Nombres y funciones de las personas implicadas en la decisión
  • El razonamiento a favor o en contra de la notificación (incluido el análisis de las excepciones)
  • Versiones de borrador y contenido final de la notificación
  • Elección del canal y evidencia de entrega
  • Comunicaciones de seguimiento y consultas de los interesados

Aquí es donde se desmoronan los procesos basados en hojas de cálculo. Cuando una autoridad de control solicite su expediente de brecha seis meses después, necesita cada decisión, marca de tiempo y comunicación en un solo lugar, no dispersas entre hilos de correo, unidades compartidas y cuadernos individuales.

Paso 6

Gestione la complejidad multientidad

Para las organizaciones que gestionan múltiples filiales en distintas jurisdicciones, la notificación del artículo 34 se vuelve exponencialmente más compleja:

  • ¿Qué entidad es el responsable del tratamiento de los datos de los interesados afectados?
  • ¿Tienen las distintas jurisdicciones requisitos locales adicionales más allá del artículo 34 del RGPD?
  • ¿Deben enviarse las notificaciones en el idioma local de cada jurisdicción afectada?
  • ¿Quién aprueba el contenido de la notificación: el DPD del grupo, el DPD local o el asesor jurídico de cada jurisdicción?
  • ¿Cómo evita comunicaciones contradictorias de distintas filiales sobre el mismo incidente?

Este es exactamente el escenario para el que se diseñó Priverion. El mapeo de datos entre entidades identifica qué filiales poseen los datos afectados, la gestión de incidentes coordina la respuesta entre entidades y los paquetes de evidencias listos para auditoría recogen la traza completa de decisiones, por entidad y por jurisdicción.

Funcionalidades clave

Las herramientas que convierten las obligaciones del artículo 34 en un proceso repetible

La notificación de brechas a los interesados falla cuando depende de la memoria, las hojas de cálculo y las cadenas de correo improvisadas. Estas funcionalidades sustituyen las conjeturas por un flujo de trabajo estructurado y auditable, sobre todo cuando gestiona incidentes en múltiples entidades.

Gestión de incidentes con puntuación de riesgos integrada

Cuando se notifica una brecha, la plataforma guía a su equipo a través de una evaluación estructurada, recogiendo el tipo de brecha, las categorías de datos, el volumen de personas afectadas y los factores de vulnerabilidad. La puntuación de riesgos asistida por IA le ayuda a determinar si se alcanza el umbral de "alto riesgo" del artículo 34, para que su DPD tome una decisión informada en lugar de una corazonada bajo presión.

Resultado: el fabricante de aeronaves redujo el tiempo de administración de cumplimiento en un 60 % en sus primeros 6 meses, lo que permitió a su DPD centrarse en las evaluaciones de riesgos y las decisiones estratégicas en lugar de perseguir documentación.

Fabricante de aeronaves, primeros 6 meses tras la implementación

Coordinación de brechas entre entidades

Cuando una brecha afecta a interesados de múltiples filiales y jurisdicciones, necesita una única fuente de verdad, no una cadena de correos reenviados. Priverion ofrece visibilidad de todo el grupo sobre cada incidente activo, mapea automáticamente las entidades afectadas mediante su mapeo de datos entre entidades y realiza un seguimiento de las decisiones de notificación por jurisdicción para que nada se escape.

Resultado: una empresa tecnológica gestiona el soporte de DPD 24/7 y la coordinación de respuesta a brechas en múltiples entidades desde una plataforma unificada, eliminando los puntos ciegos jurisdiccionales que crean los procesos manuales.

Una empresa tecnológica, gestión de un programa de privacidad multientidad

Paquetes de evidencias listos para auditoría

El cumplimiento del artículo 34 no termina cuando pulsa "enviar" en la notificación. Las autoridades de control esperan documentación de su evaluación de riesgos, el razonamiento detrás de su decisión de notificación, el contenido de la comunicación y la prueba de entrega. Priverion genera paquetes de evidencias completos, con pistas de auditoría con marca de tiempo, en minutos, no en las semanas a contrarreloj que exigen los procesos basados en hojas de cálculo.

Resultado: una empresa de tecnología médica ahorró más de 200 horas en la preparación de documentación de cumplimiento, con evidencias listas para auditoría disponibles bajo demanda para las solicitudes de las autoridades de control.

Una empresa de tecnología médica, plazo de preparación para la ISO 27001

Una nota honesta: Priverion no cubre los banners de consentimiento de cookies, las líneas éticas ni la elaboración de informes ESG. Profundizamos en la gestión del programa de privacidad (respuesta a incidentes, registro de tratamientos, EIPD, riesgo de proveedores y solicitudes de los interesados) para que sus flujos de trabajo de brechas funcionen de verdad cuando importa.

200+

Horas ahorradas en documentación de cumplimiento

Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al sustituir la documentación manual por flujos de trabajo automatizados, primeros 12 meses

60%

Menos tiempo de administración de cumplimiento

Basado en los resultados del fabricante de aeronaves, precios por entidad sin tarifas de expansión por usuario ni por módulo

3 meses

De adelanto en la preparación para la ISO 27001

Una empresa de tecnología médica adelantó su calendario de certificación ISO 27001 en tres meses usando los paquetes de evidencias listos para auditoría de Priverion

Recurso gratuito

Obtenga el kit de notificación de brechas del artículo 34

Lista de comprobación paso a paso, árbol de decisión de evaluación de riesgos, dos plantillas de notificación (directa y comunicación pública) y flujo de trabajo de coordinación multientidad. Creado para DPD y responsables de cumplimiento.

Sin spam. Le enviaremos las plantillas y nada más, a menos que se suscriba.

Conscientes de la competencia

Por qué los equipos del mercado medio dejan OneTrust por Priverion

OneTrust atendía a un perfil de comprador amplio, incluidas organizaciones de la lista Fortune 500 con equipos de GRC dedicados más grandes. Usted necesita un cumplimiento de nivel empresarial sin la complejidad empresarial ni las facturas empresariales.

La experiencia con OneTrust

Precios modulares que se acumulan

La facturación por usuario y por módulo significa que sus costes crecen de forma impredecible cada vez que añade una filial, un miembro del equipo o una nueva necesidad de cumplimiento. Las solicitudes de presupuesto se convierten en negociaciones trimestrales.

Infraestructura alojada en EE. UU.

En un panorama posterior a Schrems II, almacenar sus datos de cumplimiento de privacidad con un proveedor con sede en EE. UU. crea exactamente el riesgo de transferencia transfronteriza que intenta gestionar. La ironía se explica sola.

Creado para la Fortune 500

Más de 200 integraciones, módulos de ESG, líneas éticas: funcionalidades que añaden complejidad a su consola de administración, pero no a su programa de privacidad. Su DPD no necesita una plataforma que requiera su propio equipo para funcionar.

Implementación de meses

Los despliegues empresariales suelen prolongarse más de seis meses con equipos de proyecto dedicados, consultores externos y ciclos de incorporación prolongados antes de que vea algún valor de cumplimiento.

Tratamiento de IA opaco

Un tratamiento de datos poco claro para las funciones de IA plantea dudas sobre adónde van sus datos de cumplimiento, una conversación difícil de tener con su autoridad de control.

La experiencia con Priverion

Precios predecibles y con todo incluido

Precios basados en el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Añada miembros del equipo en todas las filiales sin ver crecer su factura. Su director financiero agradecerá la previsibilidad.

Soberanía de datos suiza garantizada

Creado en Suiza, alojado en Suiza, con todo el tratamiento de datos dentro de la infraestructura suiza. La residencia de datos europea no es una casilla de marketing; es un requisito legal para las transferencias transfronterizas de datos que simplifica la EIPD de la propia herramienta.

Diseñado específicamente para la privacidad de todo el grupo

Registro de tratamientos, EIPD, evaluaciones de proveedores, gestión de incidentes, gestión de solicitudes de los interesados y mapeo de datos entre entidades: todo lo que necesita un programa de privacidad multientidad, nada de lo que no necesita. No cubrimos ESG, líneas éticas ni consentimiento de cookies. Ese enfoque es deliberado.

Operativo en semanas, no en meses

El fabricante de aeronaves logró una reducción del 60 % en el tiempo de administración de cumplimiento en sus primeros 6 meses, implementación incluida. Sin equipos de proyecto dedicados ni consultores externos.

Caso de éxito del fabricante de aeronaves, primeros 6 meses tras el despliegue

IA transparente con supervisión humana

Redacción de EIPD asistida por IA, puntuación de riesgos y correspondencia regulatoria, todo tratado dentro de la infraestructura suiza. Cada resultado de la IA es revisado por su equipo antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se utiliza para entrenar modelos. La IA asiste, las personas deciden.

Cambiar es más sencillo de lo que cree. La mayoría de los equipos migran por completo en menos de 8 semanas.

Reserve una sesión guiada de 30 minutos
Preguntas frecuentes

Preguntas frecuentes sobre la notificación de brechas del artículo 34

¿Cuándo exige el artículo 34 del RGPD notificar a los interesados?

El artículo 34 exige la notificación cuando es probable que una brecha de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. Este es un umbral más alto que la notificación a la autoridad de control del artículo 33, que se aplica a todas las brechas salvo a las que sea improbable que entrañen algún riesgo. La determinación clave es si es probable que las personas afectadas sufran un daño real: usurpación de identidad, pérdida económica, discriminación o daño reputacional.

¿Qué debe contener una notificación del artículo 34?

La notificación debe describir la naturaleza de la brecha en un lenguaje claro y sencillo, facilitar el nombre y los datos de contacto del DPD u otro punto de contacto, describir las consecuencias probables de la brecha y describir las medidas adoptadas o propuestas para hacer frente a la brecha y mitigar sus efectos. Evite la jerga jurídica; las autoridades de control han multado a organizaciones por notificaciones técnicamente conformes pero incomprensibles para una persona corriente.

¿Cuándo NO se exige la notificación del artículo 34?

No se exige la notificación cuando: (a) aplicó medidas de protección técnicas y organizativas adecuadas a los datos afectados, como el cifrado en el que la clave no se vio comprometida; (b) tomó medidas posteriores que garantizan que ya no sea probable que se materialice el alto riesgo; o (c) supusiera un esfuerzo desproporcionado, en cuyo caso se exige en su lugar una comunicación pública o una medida similar. Las tres excepciones deben documentarse en su expediente de brecha.

¿Con qué rapidez deben notificarse los interesados conforme al artículo 34?

El artículo 34 establece que la notificación debe producirse "sin dilación indebida", pero no especifica un plazo fijo como la regla de las 72 horas del artículo 33. En la práctica, las autoridades de control esperan la comunicación tan pronto como se realiza la determinación de alto riesgo y se dispone de información suficiente para ofrecer orientación útil a las personas afectadas. Los retrasos de semanas sin justificación han dado lugar a acciones de ejecución.

¿Cuál es la diferencia entre el artículo 33 y el artículo 34 del RGPD?

El artículo 33 regula la notificación a la autoridad de control (plazo de 72 horas, se aplica a la mayoría de las brechas). El artículo 34 regula la notificación a los interesados afectados (sin plazo fijo, pero "sin dilación indebida") y solo se aplica cuando es probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas. Muchas organizaciones confunden ambos, lo que da lugar a una notificación excesiva (que crea un pánico innecesario) o a una notificación insuficiente (que crea exposición regulatoria).

¿Cómo se gestionan las notificaciones del artículo 34 en múltiples filiales?

La notificación de brechas multientidad requiere una plataforma de gestión de incidentes centralizada que mapee las entidades afectadas, realice un seguimiento de las decisiones de notificación por jurisdicción y mantenga una única pista de auditoría. La coordinación manual mediante cadenas de correo entre filiales crea lagunas que las autoridades de control identificarán durante las investigaciones. El mapeo de datos entre entidades y el flujo de trabajo de gestión de incidentes de Priverion se diseñaron específicamente para este escenario.

Deje de gestionar la respuesta a brechas en hojas de cálculo

Vea cómo es la gestión de la privacidad de todo el grupo cuando realmente funciona

En 30 minutos, recorreremos su configuración multientidad específica: cómo funcionan la recertificación automatizada del registro de tratamientos, las EIPD asistidas por IA y el mapeo de datos entre filiales para organizaciones como la suya. Todo construido sobre infraestructura suiza, con precios que no le penalizan por crecer.

60%

menos tiempo de administración de cumplimiento

Fabricante de aeronaves, primeros 6 meses

200+

horas ahorradas en preparación de auditorías

Una empresa de tecnología médica, preparación para la ISO 27001

Semanas

para la puesta en marcha, no meses

Media de todos los despliegues de clientes

Reserve una sesión guiada de 30 minutos

Sin argumentos de venta. Sin presión. Solo sus retos de cumplimiento mapeados a una solución que funciona.

The Privacy Compliance Briefing

Análisis mensuales sobre la aplicación del RGPD, novedades de la LPD suiza y estrategias de automatización para DPD y equipos de cumplimiento.

Sin spam. Cancele la suscripción cuando quiera.

Obtenga el kit de brechas gratuito
Acerca de esta página: referencias, definiciones y preguntas frecuentes

Key Takeaways — GDPR Breach Notification to Data Subjects

GDPR Article 34 requires controllers to notify data subjects without undue delay when a personal data breach is likely to result in a high risk to their rights and freedoms. This threshold is higher than the Article 33 supervisory authority notification. Three exceptions under Article 34(3) — encryption, subsequent risk elimination, and disproportionate effort — may remove the obligation, but each must be documented. Effective breach notification programmes require pre-drafted templates, clear escalation paths, and auditable decision logs across every entity in a corporate group.

Definitions

What is a Personal Data Breach under the GDPR?

Personal data breach is defined in Article 4(12) GDPR as "a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed." (GDPR Article 4 — EUR-Lex)

What is Article 34 GDPR?

Article 34 GDPR governs the communication of a personal data breach to the data subject. It states: "When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay." (GDPR Article 34 — EUR-Lex)

What is the "High Risk" Threshold?

The high risk threshold under Article 34 is assessed by considering the severity and likelihood of harm to data subjects. The EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification provide practical case studies illustrating when breaches cross this threshold. (EDPB Guidelines 01/2021)

What is Article 33 GDPR?

Article 33 GDPR requires controllers to notify the competent supervisory authority of a personal data breach within 72 hours of becoming aware of it, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons. (GDPR Article 33 — EUR-Lex)

Statistics and Industry Data

According to the EDPB Annual Report 2023, European data protection authorities received over 130,000 personal data breach notifications in 2023, continuing a year-on-year upward trend since the GDPR took effect in 2018. (EDPB Annual Report 2023)

The ENISA Threat Landscape 2024 report found that ransomware and data exfiltration attacks remain the leading causes of personal data breaches across the EU, with healthcare and public administration among the most targeted sectors. (ENISA Threat Landscape)

According to the IAPP-EY Privacy Governance Report 2023, 73% of organisations reported that their privacy teams are involved in breach response, yet only 38% have fully automated breach notification workflows. (IAPP-EY Privacy Governance Report)

The EDPB Guidelines 9/2022 on personal data breach notification under GDPR clarify that the 72-hour Article 33 deadline begins when the controller has a "reasonable degree of certainty" that a breach has occurred, and that Article 34 notification should follow "without undue delay" once the high-risk assessment is complete. (EDPB Guidelines 9/2022)

Frequently Asked Questions

When does Article 34 GDPR require notification to data subjects?

Article 34(1) requires notification when a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons. This is a higher threshold than Article 33's supervisory authority notification, which applies unless the breach is "unlikely to result in a risk." The controller must assess severity, likelihood of harm, data sensitivity, and the number of affected individuals. (GDPR Article 34)

What are the three exceptions to notifying data subjects under Article 34(3)?

Article 34(3) provides three exceptions: (a) the controller applied appropriate technical and organisational measures (e.g., strong encryption) that render the data unintelligible; (b) the controller took subsequent measures that ensure the high risk is no longer likely to materialise; (c) individual notification would involve disproportionate effort, in which case a public communication must be made instead. Each exception must be documented. (GDPR Article 34)

What must a breach notification to data subjects contain?

Under Article 34(2), the notification must describe in clear and plain language: the nature of the breach, the DPO or contact point's name and details, the likely consequences, and the measures taken or proposed to address the breach and mitigate its effects. (GDPR Article 34)

What is the deadline for notifying data subjects under Article 34?

Article 34 requires notification "without undue delay" but does not specify a fixed deadline like Article 33's 72-hour window. In practice, supervisory authorities expect controllers to notify as soon as they have sufficient information to provide meaningful guidance to affected individuals. Delays must be justified and documented.

How does Article 34 differ from Article 33 GDPR?

Article 33 governs notification to the supervisory authority within 72 hours for any breach that is not unlikely to result in risk. Article 34 governs notification to data subjects and applies only when the breach is likely to result in high risk. Article 34 has no fixed deadline but requires action "without undue delay." Article 34 also includes three specific exceptions not present in Article 33. (Article 33 | Article 34)

Can encryption prevent the obligation to notify data subjects?

Yes. Under Article 34(3)(a), if the breached data was protected by strong encryption and the encryption key was not compromised, the data is considered unintelligible to unauthorised persons. In this case, the high risk to data subjects is effectively neutralised and notification is not required. However, the controller must document that the encryption was adequate and the key remained secure. (EDPB Guidelines 9/2022)

What happens if a controller fails to notify data subjects when required?

Failure to comply with Article 34 can result in administrative fines of up to €10 million or 2% of annual global turnover, whichever is higher, under Article 83(4)(a) GDPR. Beyond fines, failure to notify can lead to reputational damage, loss of customer trust, and civil liability claims from affected data subjects. (GDPR Article 83)

How should multi-entity organisations coordinate Article 34 notifications?

Corporate groups with multiple legal entities acting as separate controllers must coordinate breach response across jurisdictions. Each entity must independently assess whether Article 34 applies based on its own processing activities and the data subjects it controls. A centralised breach management platform — such as Priverion — enables group-wide visibility, consistent risk assessment methodology, and per-entity audit trails that satisfy supervisory authority scrutiny.

Comparison: Article 33 vs. Article 34 GDPR

CriterionArticle 33 — Supervisory AuthorityArticle 34 — Data Subjects
Trigger thresholdBreach not unlikely to result in riskBreach likely to result in high risk
DeadlineWithin 72 hours of awarenessWithout undue delay (no fixed clock)
RecipientCompetent supervisory authorityAffected data subjects directly
Content requirementsArticle 33(3)(a)–(d): nature, DPO, consequences, measuresArticle 34(2) referencing 33(3)(b)–(d): nature, DPO, consequences, measures
ExceptionsOnly if breach is unlikely to result in riskThree exceptions under Article 34(3): encryption, subsequent measures, disproportionate effort
Penalty for non-complianceUp to €10M or 2% global turnoverUp to €10M or 2% global turnover
Documentation requirementMust document all breaches per Article 33(5)Must document risk assessment and exception analysis

Authoritative Sources and Further Reading