Deje de adivinar cuándo notificar a los interesados tras una brecha: obtenga el marco exacto
Obtenga el marco de decisión paso a paso del artículo 34, plantillas de notificación y una lista de comprobación de coordinación multientidad que los equipos de privacidad de más de 50 organizaciones utilizan para gestionar las notificaciones de brechas sin conjeturas, pánico ni exposición regulatoria.
Sin spam. Acceso instantáneo a la lista de comprobación y las plantillas.
Lo que dicen los profesionales de la privacidad
Resultados de equipos de privacidad como el suyo
60 % menos de tiempo de administración
"Redujimos el tiempo de administración de cumplimiento en un 60 % en seis meses. Nuestra DPD ahora dedica tiempo a las evaluaciones de riesgos y a las decisiones estratégicas en lugar de perseguir documentación entre hojas de cálculo."
Fabricación aeronáutica, programa de privacidad multientidad
Más de 200 horas ahorradas
"Ahorramos más de 200 horas en documentación de cumplimiento y finalizamos la preparación para la ISO 27001 tres meses antes de lo previsto. Los paquetes de evidencias listos para auditoría estaban disponibles bajo demanda, lo que eliminó las prisas antes de las solicitudes de las autoridades de control."
Tecnología sanitaria, certificada ISO 27001
Coordinación de brechas 24/7
"Gestionamos el soporte de DPD y la coordinación de respuesta a brechas en múltiples entidades desde una única plataforma unificada. Los puntos ciegos jurisdiccionales que teníamos con los procesos basados en correo electrónico han desaparecido, y cada decisión de notificación queda registrada por entidad."
Tecnología, gestión de privacidad multientidad
Basado en resultados comunicados por los clientes. Datos del fabricante de aeronaves y de la empresa de tecnología médica correspondientes a los primeros 12 meses tras la implementación. Datos de la empresa tecnológica de la relación en curso.
El desglose completo del artículo 34: cuándo, qué y cómo notificar a los interesados
El artículo 34 es una de las disposiciones del RGPD que peor se interpretan. Notifique cuando no debe, y desencadenará un pánico innecesario. No notifique cuando debe, y se enfrentará a una acción de ejecución. Aquí tiene el marco para acertar.
Determine si la brecha alcanza el umbral de "alto riesgo"
El artículo 34(1) solo se activa cuando una brecha "entrañe un alto riesgo para los derechos y libertades de las personas físicas". Este es un listón más alto que la notificación a la autoridad de control del artículo 33, que se aplica a cualquier brecha que no sea improbable que entrañe un riesgo.
Factores que normalmente llevan una brecha al terreno de "alto riesgo":
- Se ven afectadas categorías especiales de datos (salud, datos biométricos, origen racial/étnico, opiniones políticas)
- Datos financieros que podrían facilitar el fraude (cuentas bancarias, números de tarjetas de crédito)
- Un gran volumen de personas afectadas
- Datos que podrían dar lugar a usurpación de identidad, discriminación o daño físico
- Se ven afectados interesados vulnerables (menores, pacientes, empleados)
- Los datos no estaban cifrados ni seudonimizados en el momento de la brecha
La pregunta clave no es "¿cómo de grave fue la brecha?", sino "¿cuál es la probabilidad de que las personas afectadas sufran un daño real?". Su evaluación de riesgos debe documentar el razonamiento, ya que las autoridades de control lo solicitarán.
Compruebe las tres excepciones que eliminan la obligación de notificar
El artículo 34(3) prevé tres excepciones. Si se aplica alguna de ellas, no está obligado a notificar a los interesados, pero aun así debe documentar por qué se aplica la excepción.
Excepción (a): se habían implantado medidas de protección adecuadas
Aplicó medidas técnicas y organizativas que hacen ininteligibles los datos personales para cualquier persona no autorizada a acceder a ellos. El ejemplo más habitual es el cifrado: si los datos afectados estaban cifrados con un algoritmo robusto y la clave no se vio comprometida, es probable que se aplique esta excepción.
Excepción (b): medidas posteriores eliminan el riesgo
Tomó medidas inmediatas tras la brecha que garantizan que ya no sea probable que se materialice el alto riesgo para los interesados. Por ejemplo, identificó y contuvo la brecha antes de que realmente se accediera a ningún dato, o borró de forma remota un dispositivo perdido antes de que se desbloqueara.
Excepción (c): esfuerzo desproporcionado
Si la notificación individual supusiera un esfuerzo desproporcionado (por ejemplo, no puede identificar o contactar a todas las personas afectadas), debe realizar en su lugar una comunicación pública o adoptar una medida similar que informe a los interesados de forma igualmente eficaz. Esta es la excepción que con más frecuencia se aplica de forma incorrecta; las autoridades de control interpretan el "esfuerzo desproporcionado" de manera restrictiva.
Redacte el contenido de la notificación
El artículo 34(2) remite al artículo 33(3)(b), (c) y (d). Su notificación a los interesados debe incluir cuatro elementos, comunicados "en un lenguaje claro y sencillo":
- La naturaleza de la brecha: describa lo que ocurrió en términos que el destinatario pueda entender. Evite la jerga jurídica y el lenguaje técnico. "Un tercero no autorizado accedió a la información de su cuenta" es mejor que "se produjo un incidente de seguridad con exposición de credenciales".
- Datos de contacto del DPD: el nombre y los datos de contacto de su delegado de protección de datos u otro punto de contacto donde puedan obtener más información.
- Consecuencias probables: sea honesto y específico. "Esto puede significar que su dirección de correo electrónico y su contraseña están a disposición de terceros no autorizados, que podrían usarlas para acceder a otras cuentas si utiliza la misma contraseña" es más útil que "puede existir un riesgo para sus datos personales".
- Medidas de mitigación: describa lo que ha hecho y lo que recomienda que hagan: restablecimiento de contraseñas, supervisión de cuentas, bloqueo de crédito, puntos de contacto para preguntas.
Elija el canal de comunicación adecuado
El RGPD no prescribe un canal específico, pero la notificación debe llegar realmente a las personas afectadas. Tenga en cuenta:
- Correo electrónico directo: lo más habitual en brechas en línea. Asegúrese de enviar a direcciones verificadas y de poder evidenciar la entrega.
- Correo postal: adecuado para brechas que afectan a datos fuera de línea o cuando no se dispone de direcciones de correo electrónico.
- Página de incidentes dedicada: útil como complemento, pero normalmente insuficiente como único método de notificación.
- Notificación dentro de la aplicación: puede funcionar para usuarios activos de un servicio digital, pero deja fuera a las cuentas inactivas.
Documente el razonamiento de su elección de canal. Si una autoridad de control le pregunta por qué eligió el correo electrónico en lugar del correo postal para una brecha que afecta a pacientes de edad avanzada, necesita una respuesta defendible.
Ejecute la notificación y conserve la pista de auditoría
El artículo 34 dice "sin dilación indebida". A diferencia del plazo de 72 horas del artículo 33, no hay un reloj fijo, pero las autoridades de control esperan que actúe en cuanto disponga de información suficiente para ofrecer orientación útil.
Lo que debe recoger su pista de auditoría:
- Marca de tiempo de la decisión de evaluación de riesgos
- Nombres y funciones de las personas implicadas en la decisión
- El razonamiento a favor o en contra de la notificación (incluido el análisis de las excepciones)
- Versiones de borrador y contenido final de la notificación
- Elección del canal y evidencia de entrega
- Comunicaciones de seguimiento y consultas de los interesados
Aquí es donde se desmoronan los procesos basados en hojas de cálculo. Cuando una autoridad de control solicite su expediente de brecha seis meses después, necesita cada decisión, marca de tiempo y comunicación en un solo lugar, no dispersas entre hilos de correo, unidades compartidas y cuadernos individuales.
Gestione la complejidad multientidad
Para las organizaciones que gestionan múltiples filiales en distintas jurisdicciones, la notificación del artículo 34 se vuelve exponencialmente más compleja:
- ¿Qué entidad es el responsable del tratamiento de los datos de los interesados afectados?
- ¿Tienen las distintas jurisdicciones requisitos locales adicionales más allá del artículo 34 del RGPD?
- ¿Deben enviarse las notificaciones en el idioma local de cada jurisdicción afectada?
- ¿Quién aprueba el contenido de la notificación: el DPD del grupo, el DPD local o el asesor jurídico de cada jurisdicción?
- ¿Cómo evita comunicaciones contradictorias de distintas filiales sobre el mismo incidente?
Este es exactamente el escenario para el que se diseñó Priverion. El mapeo de datos entre entidades identifica qué filiales poseen los datos afectados, la gestión de incidentes coordina la respuesta entre entidades y los paquetes de evidencias listos para auditoría recogen la traza completa de decisiones, por entidad y por jurisdicción.
Las herramientas que convierten las obligaciones del artículo 34 en un proceso repetible
La notificación de brechas a los interesados falla cuando depende de la memoria, las hojas de cálculo y las cadenas de correo improvisadas. Estas funcionalidades sustituyen las conjeturas por un flujo de trabajo estructurado y auditable, sobre todo cuando gestiona incidentes en múltiples entidades.
Gestión de incidentes con puntuación de riesgos integrada
Cuando se notifica una brecha, la plataforma guía a su equipo a través de una evaluación estructurada, recogiendo el tipo de brecha, las categorías de datos, el volumen de personas afectadas y los factores de vulnerabilidad. La puntuación de riesgos asistida por IA le ayuda a determinar si se alcanza el umbral de "alto riesgo" del artículo 34, para que su DPD tome una decisión informada en lugar de una corazonada bajo presión.
Resultado: el fabricante de aeronaves redujo el tiempo de administración de cumplimiento en un 60 % en sus primeros 6 meses, lo que permitió a su DPD centrarse en las evaluaciones de riesgos y las decisiones estratégicas en lugar de perseguir documentación.
Fabricante de aeronaves, primeros 6 meses tras la implementación
Coordinación de brechas entre entidades
Cuando una brecha afecta a interesados de múltiples filiales y jurisdicciones, necesita una única fuente de verdad, no una cadena de correos reenviados. Priverion ofrece visibilidad de todo el grupo sobre cada incidente activo, mapea automáticamente las entidades afectadas mediante su mapeo de datos entre entidades y realiza un seguimiento de las decisiones de notificación por jurisdicción para que nada se escape.
Resultado: una empresa tecnológica gestiona el soporte de DPD 24/7 y la coordinación de respuesta a brechas en múltiples entidades desde una plataforma unificada, eliminando los puntos ciegos jurisdiccionales que crean los procesos manuales.
Una empresa tecnológica, gestión de un programa de privacidad multientidad
Paquetes de evidencias listos para auditoría
El cumplimiento del artículo 34 no termina cuando pulsa "enviar" en la notificación. Las autoridades de control esperan documentación de su evaluación de riesgos, el razonamiento detrás de su decisión de notificación, el contenido de la comunicación y la prueba de entrega. Priverion genera paquetes de evidencias completos, con pistas de auditoría con marca de tiempo, en minutos, no en las semanas a contrarreloj que exigen los procesos basados en hojas de cálculo.
Resultado: una empresa de tecnología médica ahorró más de 200 horas en la preparación de documentación de cumplimiento, con evidencias listas para auditoría disponibles bajo demanda para las solicitudes de las autoridades de control.
Una empresa de tecnología médica, plazo de preparación para la ISO 27001
Una nota honesta: Priverion no cubre los banners de consentimiento de cookies, las líneas éticas ni la elaboración de informes ESG. Profundizamos en la gestión del programa de privacidad (respuesta a incidentes, registro de tratamientos, EIPD, riesgo de proveedores y solicitudes de los interesados) para que sus flujos de trabajo de brechas funcionen de verdad cuando importa.
200+
Horas ahorradas en documentación de cumplimiento
Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al sustituir la documentación manual por flujos de trabajo automatizados, primeros 12 meses
60%
Menos tiempo de administración de cumplimiento
Basado en los resultados del fabricante de aeronaves, precios por entidad sin tarifas de expansión por usuario ni por módulo
3 meses
De adelanto en la preparación para la ISO 27001
Una empresa de tecnología médica adelantó su calendario de certificación ISO 27001 en tres meses usando los paquetes de evidencias listos para auditoría de Priverion
Obtenga el kit de notificación de brechas del artículo 34
Lista de comprobación paso a paso, árbol de decisión de evaluación de riesgos, dos plantillas de notificación (directa y comunicación pública) y flujo de trabajo de coordinación multientidad. Creado para DPD y responsables de cumplimiento.
Sin spam. Le enviaremos las plantillas y nada más, a menos que se suscriba.
Por qué los equipos del mercado medio dejan OneTrust por Priverion
OneTrust atendía a un perfil de comprador amplio, incluidas organizaciones de la lista Fortune 500 con equipos de GRC dedicados más grandes. Usted necesita un cumplimiento de nivel empresarial sin la complejidad empresarial ni las facturas empresariales.
La experiencia con OneTrust
Precios modulares que se acumulan
La facturación por usuario y por módulo significa que sus costes crecen de forma impredecible cada vez que añade una filial, un miembro del equipo o una nueva necesidad de cumplimiento. Las solicitudes de presupuesto se convierten en negociaciones trimestrales.
Infraestructura alojada en EE. UU.
En un panorama posterior a Schrems II, almacenar sus datos de cumplimiento de privacidad con un proveedor con sede en EE. UU. crea exactamente el riesgo de transferencia transfronteriza que intenta gestionar. La ironía se explica sola.
Creado para la Fortune 500
Más de 200 integraciones, módulos de ESG, líneas éticas: funcionalidades que añaden complejidad a su consola de administración, pero no a su programa de privacidad. Su DPD no necesita una plataforma que requiera su propio equipo para funcionar.
Implementación de meses
Los despliegues empresariales suelen prolongarse más de seis meses con equipos de proyecto dedicados, consultores externos y ciclos de incorporación prolongados antes de que vea algún valor de cumplimiento.
Tratamiento de IA opaco
Un tratamiento de datos poco claro para las funciones de IA plantea dudas sobre adónde van sus datos de cumplimiento, una conversación difícil de tener con su autoridad de control.
La experiencia con Priverion
Precios predecibles y con todo incluido
Precios basados en el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Añada miembros del equipo en todas las filiales sin ver crecer su factura. Su director financiero agradecerá la previsibilidad.
Soberanía de datos suiza garantizada
Creado en Suiza, alojado en Suiza, con todo el tratamiento de datos dentro de la infraestructura suiza. La residencia de datos europea no es una casilla de marketing; es un requisito legal para las transferencias transfronterizas de datos que simplifica la EIPD de la propia herramienta.
Diseñado específicamente para la privacidad de todo el grupo
Registro de tratamientos, EIPD, evaluaciones de proveedores, gestión de incidentes, gestión de solicitudes de los interesados y mapeo de datos entre entidades: todo lo que necesita un programa de privacidad multientidad, nada de lo que no necesita. No cubrimos ESG, líneas éticas ni consentimiento de cookies. Ese enfoque es deliberado.
Operativo en semanas, no en meses
El fabricante de aeronaves logró una reducción del 60 % en el tiempo de administración de cumplimiento en sus primeros 6 meses, implementación incluida. Sin equipos de proyecto dedicados ni consultores externos.
Caso de éxito del fabricante de aeronaves, primeros 6 meses tras el despliegue
IA transparente con supervisión humana
Redacción de EIPD asistida por IA, puntuación de riesgos y correspondencia regulatoria, todo tratado dentro de la infraestructura suiza. Cada resultado de la IA es revisado por su equipo antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se utiliza para entrenar modelos. La IA asiste, las personas deciden.
Cambiar es más sencillo de lo que cree. La mayoría de los equipos migran por completo en menos de 8 semanas.
Reserve una sesión guiada de 30 minutosPreguntas frecuentes sobre la notificación de brechas del artículo 34
¿Cuándo exige el artículo 34 del RGPD notificar a los interesados?
El artículo 34 exige la notificación cuando es probable que una brecha de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. Este es un umbral más alto que la notificación a la autoridad de control del artículo 33, que se aplica a todas las brechas salvo a las que sea improbable que entrañen algún riesgo. La determinación clave es si es probable que las personas afectadas sufran un daño real: usurpación de identidad, pérdida económica, discriminación o daño reputacional.
¿Qué debe contener una notificación del artículo 34?
La notificación debe describir la naturaleza de la brecha en un lenguaje claro y sencillo, facilitar el nombre y los datos de contacto del DPD u otro punto de contacto, describir las consecuencias probables de la brecha y describir las medidas adoptadas o propuestas para hacer frente a la brecha y mitigar sus efectos. Evite la jerga jurídica; las autoridades de control han multado a organizaciones por notificaciones técnicamente conformes pero incomprensibles para una persona corriente.
¿Cuándo NO se exige la notificación del artículo 34?
No se exige la notificación cuando: (a) aplicó medidas de protección técnicas y organizativas adecuadas a los datos afectados, como el cifrado en el que la clave no se vio comprometida; (b) tomó medidas posteriores que garantizan que ya no sea probable que se materialice el alto riesgo; o (c) supusiera un esfuerzo desproporcionado, en cuyo caso se exige en su lugar una comunicación pública o una medida similar. Las tres excepciones deben documentarse en su expediente de brecha.
¿Con qué rapidez deben notificarse los interesados conforme al artículo 34?
El artículo 34 establece que la notificación debe producirse "sin dilación indebida", pero no especifica un plazo fijo como la regla de las 72 horas del artículo 33. En la práctica, las autoridades de control esperan la comunicación tan pronto como se realiza la determinación de alto riesgo y se dispone de información suficiente para ofrecer orientación útil a las personas afectadas. Los retrasos de semanas sin justificación han dado lugar a acciones de ejecución.
¿Cuál es la diferencia entre el artículo 33 y el artículo 34 del RGPD?
El artículo 33 regula la notificación a la autoridad de control (plazo de 72 horas, se aplica a la mayoría de las brechas). El artículo 34 regula la notificación a los interesados afectados (sin plazo fijo, pero "sin dilación indebida") y solo se aplica cuando es probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas. Muchas organizaciones confunden ambos, lo que da lugar a una notificación excesiva (que crea un pánico innecesario) o a una notificación insuficiente (que crea exposición regulatoria).
¿Cómo se gestionan las notificaciones del artículo 34 en múltiples filiales?
La notificación de brechas multientidad requiere una plataforma de gestión de incidentes centralizada que mapee las entidades afectadas, realice un seguimiento de las decisiones de notificación por jurisdicción y mantenga una única pista de auditoría. La coordinación manual mediante cadenas de correo entre filiales crea lagunas que las autoridades de control identificarán durante las investigaciones. El mapeo de datos entre entidades y el flujo de trabajo de gestión de incidentes de Priverion se diseñaron específicamente para este escenario.
The Privacy Compliance Briefing
Análisis mensuales sobre la aplicación del RGPD, novedades de la LPD suiza y estrategias de automatización para DPD y equipos de cumplimiento.
Sin spam. Cancele la suscripción cuando quiera.


