Guía de notificación de brechas del RGPD

Cumpla el plazo de 72 horas del RGPD para brechas, incluso en más de 50 filiales

Actualizado 2026-06-23
Conclusiones clave: Priverion es una plataforma de GRC alojada en Suiza que ayuda a las organizaciones multientidad a cumplir el plazo de 72 horas del RGPD para la notificación de brechas, con flujos de trabajo de incidentes centralizados, escalado automatizado y documentación lista para auditorías.

El reloj empieza a correr cuando cualquier entidad de su grupo tiene conocimiento de la brecha, no cuando se entera la sede central. Obtenga el manual paso a paso que utilizan los equipos de privacidad multientidad para mantenerse conformes bajo presión.

Sin spam. Cancele la suscripción cuando quiera. Sus datos se procesan y alojan en Suiza.

Infraestructura alojada en Suiza Alineado con ISO 27001 Con la confianza de más de 150 organizaciones Conforme con la LPD suiza y el RGPD
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Dónde fallan las organizaciones multientidad

Por qué 72 horas no bastan para la mayoría de las organizaciones multientidad

Conocer los requisitos de notificación de brechas de datos del RGPD es una cosa. Ejecutarlos bajo presión en filiales, jurisdicciones y sistemas desconectados es donde el cumplimiento realmente se desmorona.

Fragmentación del conocimiento

Se produce una brecha en una filial. El equipo de TI local investiga durante 36 horas antes de escalarla. Para cuando se informa al DPD del grupo, la ventana de 72 horas del artículo 33 está casi cerrada, o ya ha pasado. Sin una recepción centralizada de incidentes en todas las entidades, el plazo se agota antes incluso de empezar a contar para la sede.

Resultado: los flujos de trabajo de escalado automatizado redujeron el desfase en el conocimiento de brechas a menos de 4 horas para un grupo multientidad en múltiples entidades.

Un grupo multientidad, soporte de DPD 24/7 en múltiples entidades con Priverion

Desconexión del registro de tratamientos

No se puede evaluar el impacto de una brecha si no se dispone de un registro de actividades de tratamiento preciso y actualizado. Si su registro de tratamientos se actualizó por última vez hace 14 meses, su evaluación del impacto de la brecha se construye sobre arena. Las notificaciones del artículo 33 exigen describir la naturaleza de la brecha (categorías y número aproximado de interesados y registros afectados). Los registros de tratamientos obsoletos hacen que eso sea imposible bajo presión de tiempo.

Resultado: una aseguradora suiza logró una tasa de recertificación del registro de tratamientos del 100% con flujos de trabajo totalmente automatizados, con documentación lista para brechas en todo momento.

Una aseguradora suiza, tasa de recertificación del registro de tratamientos del 100% con la recertificación automatizada de Priverion

Lagunas en la documentación

El artículo 33(5) exige a los responsables del tratamiento documentar TODAS las brechas, no solo las notificables, incluidos los hechos, los efectos y las medidas correctoras. La mayoría de las organizaciones multientidad gestionan esto mediante hojas de cálculo compartidas por correo electrónico. Ningún auditor acepta eso como un registro de brechas defendible. Cuando una autoridad de control solicita su registro de brechas, necesita paquetes de evidencias listos para auditoría, no una carpeta de archivos de Excel con formatos incoherentes.

Resultado: un fabricante de aeronaves redujo el tiempo de administración de cumplimiento en un 60% en 6 meses, y ahora su DPD se centra en el trabajo estratégico de privacidad en lugar del mantenimiento de hojas de cálculo.

Fabricante de aeronaves, reducción del 60% en el tiempo de administración de cumplimiento, primeros 6 meses con Priverion

Confusión jurisdiccional

¿A qué autoridad de control notifica cuando una brecha afecta a interesados de 8 países pero el responsable del tratamiento está establecido en un noveno? El mecanismo de "ventanilla única" del RGPD tiene matices que requieren árboles de decisión predefinidos creados antes de un incidente, no búsquedas en Google en tiempo real a las 2 de la madrugada. Las notificaciones de brechas transfronterizas exigen rutas de escalado preconfiguradas por entidad y jurisdicción.

Resultado: un proveedor sanitario logró una cobertura del 100% en la evaluación de riesgos de proveedores, mapeando de antemano los flujos de datos de terceros entre entidades antes de que ocurran los incidentes.

Un proveedor sanitario, cobertura del 100% en la evaluación de riesgos de proveedores con Priverion

Puntos ciegos de EIPD / TIA

Un tratamiento de alto riesgo que nunca se evaluó mediante una evaluación de impacto relativa a la protección de datos significa que no dispone de una línea base de riesgo previa con la que evaluar la gravedad de la brecha. Cuando el artículo 34 pregunta si la brecha "entraña probablemente un alto riesgo para los derechos y libertades de las personas físicas", necesita una evaluación de riesgos documentada para responder, no la intuición. La falta de EIPD convierte cada brecha en un ejercicio de suposición del peor escenario.

Resultado: una empresa de tecnología médica ahorró más de 200 horas en la preparación de ISO 27001, incluida la documentación de EIPD que sirve como línea base para la respuesta a brechas.

Una empresa de tecnología médica, más de 200 horas ahorradas en la preparación de ISO 27001 con Priverion

Fallos en la notificación del encargado

Los encargados del tratamiento deben notificar al responsable del tratamiento "sin dilación indebida"; no existe un margen de 72 horas para los encargados. En grupos multientidad con servicios compartidos o contratos de encargo intragrupo, una filial encargada del tratamiento puede no darse cuenta de que necesita notificar de inmediato a la entidad responsable del tratamiento. Sin un mapa unificado de proveedores y de tratamiento intragrupo, este desencadenante olvidado se convierte en la laguna de cumplimiento que las autoridades de control explotan primero. Cuando las acciones de ejecución citan retrasos en la notificación, es abrumadoramente aquí donde se rompe la cadena.

Resultado: el mapeo de datos entre entidades ofrece visibilidad de todo el grupo sobre las relaciones entre responsables y encargados del tratamiento, de modo que cada entidad sabe exactamente a quién notificar.

Capacidad de la plataforma Priverion, mapeo de datos entre entidades para una visibilidad de todo el grupo

Obtenga su manual gratuito de respuesta a brechas

Una guía paso a paso para organizaciones multientidad, PDF gratuito, sin spam.

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica recuperó más de 200 horas que antes dedicaba al mantenimiento manual de registros, tiempo que redirigió a la preparación de la certificación ISO 27001.

60%

Menor coste frente a las plataformas heredadas

Un fabricante de aeronaves logró un cumplimiento de nivel empresarial a un coste total notablemente inferior al de los contratos típicos de GRC empresarial de alcance comparable, sin tarifas por usuario ni trampas de ampliación por módulo.

3 mes.

De adelanto sobre el calendario de ISO 27001

Una empresa de tecnología médica completó la preparación de la auditoría ISO 27001 tres meses antes de lo previsto inicialmente gracias a los paquetes de evidencias integrados de Priverion.

Lo que dicen los líderes de privacidad sobre Priverion

Basado en entrevistas con clientes y respuestas a encuestas, primer trimestre de 2025

"Pasamos de 47 hojas de cálculo desconectadas a una única plataforma en todas las filiales. Cuando sufrimos nuestra primera brecha real, teníamos la notificación lista en 18 horas, incluida la evaluación transfronteriza. Antes habría sido imposible."

Delegado de protección de datos del grupo

Fabricante de aeronaves, 11 entidades en 4 jurisdicciones

"Solo la recertificación automatizada del registro de tratamientos ya justificó el cambio. Pero lo que de verdad importa es que ahora cada entidad dispone en todo momento de documentación lista para brechas. Nuestras interacciones con las autoridades de control se han vuelto realmente sencillas."

Responsable de privacidad

Una aseguradora suiza, tasa de recertificación del registro de tratamientos del 100% en todas las entidades

"Recortamos más de 200 horas de trabajo manual de cumplimiento en el primer año. La preparación de ISO 27001 que debía llevar nueve meses se completó en seis. Los paquetes de evidencias de Priverion se correspondían directamente con los requisitos del auditor."

CTO y DPD

Una empresa de tecnología médica, 3 meses de adelanto sobre el calendario de ISO 27001

"Contar con una cobertura del 100% en la evaluación de riesgos de proveedores significa que sabemos exactamente por dónde fluyen los datos antes de que ocurra un incidente. Cuando un encargado del tratamiento sufrió una brecha el trimestre pasado, teníamos la notificación al responsable lista en cuestión de horas, no de días."

Responsable de cumplimiento

Un proveedor sanitario, cobertura del 100% en la evaluación de riesgos de proveedores

Alineado con ISO 27001

Gestión de la seguridad de la información

100% alojado en Suiza

Se aplica la ley suiza de protección de datos

Conforme con la LPD suiza

Ley Federal Suiza de Protección de Datos

Más de 150 organizaciones

En toda Europa y Suiza

Priverion vs. OneTrust

Nivel empresarial sin la complejidad empresarial

Las empresas del mercado medio no necesitan una plataforma diseñada para los ciclos de compras de las Fortune 50. Necesitan una que resuelva el cumplimiento de privacidad de todo el grupo sin la sobrecarga, las sorpresas de presupuesto ni el riesgo de residencia de datos en EE. UU.

La experiencia OneTrust

Tratamiento de datos con sede en EE. UU.

Datos procesados en infraestructura estadounidense, sujetos a la CLOUD Act y a la FISA 702. Tras Schrems II, esto genera un riesgo de transferencia continuo para las organizaciones europeas.

Precios por módulo y por usuario

Los costes se disparan a medida que añade filiales, usuarios o módulos. La previsibilidad presupuestaria desaparece cuando crece la estructura de su grupo.

Diseñado para las Fortune 500

Tan repleto de funciones que abruma. Los equipos del mercado medio pasan meses en la implementación y aun así solo usan una fracción de las capacidades.

Arquitectura de módulos fragmentada

¿Necesita registro de tratamientos, EIPD, gestión de proveedores y tratamiento de incidentes? Eso son cuatro conversaciones de compra separadas y potencialmente cuatro patrones de experiencia de usuario diferentes.

Más de 200 integraciones superficiales

Una larga lista de conectores impresiona sobre el papel, pero genera una carga de mantenimiento. La mayoría de los equipos del mercado medio usan menos de 10.

La experiencia Priverion

Soberanía de datos suiza garantizada

Desarrollado en Suiza, alojado en Suiza, con residencia de datos europea. Todo el tratamiento de datos permanece dentro de la infraestructura suiza: no es una casilla de marketing, sino una salvaguarda legal para las transferencias transfronterizas.

Precios predecibles y transparentes

El precio se fija por número de empresas y tamaño organizativo, no por usuario ni por módulo. Sin trampas de ampliación cuando se pone en marcha su tercera filial o cuando su quinta unidad de negocio necesita acceso.

Creado específicamente para grupos multientidad

Operativo en semanas, no en meses. Un fabricante de aeronaves pasó de 47 hojas de cálculo a una recertificación totalmente automatizada en sus primeros 6 meses, reduciendo en un 60% el tiempo de administración de cumplimiento.

Fabricante de aeronaves, primeros 6 meses de implementación de Priverion

Plataforma de privacidad todo en uno

Registro de tratamientos, EIPD, riesgo de proveedores, gestión de incidentes, gestión de solicitudes de interesados, mapeo de datos y cumplimiento asistido por IA: una plataforma, un contrato, una experiencia coherente en todas las entidades.

Integraciones profundas donde importan

Conexiones significativas con sistemas de RR. HH., compras y gestión de activos de TI: los flujos de trabajo que realmente alimentan el cumplimiento de privacidad. No 200 conectores superficiales que generan carga de mantenimiento.

Esté preparado antes de la próxima brecha

Obtenga el manual que utilizan los equipos de privacidad multientidad para cumplir el plazo de 72 horas

Creado a partir de flujos de trabajo reales de respuesta a brechas en organizaciones que gestionan de 5 a más de 50 filiales. Incluye árboles de decisión, plantillas de escalado y la lista de comprobación de documentación que las autoridades de control realmente piden.

6 plantillas

Documentos de respuesta a brechas listos para usar

Cronología de 72 horas

Con asignación de roles por entidad

100% gratuito

Sin compromiso

Obtenga su manual gratuito de respuesta a brechas

Sin spam. Sin argumentario de ventas. Solo un recurso práctico para equipos de privacidad bajo presión.

Recurso gratuito

Descargue el manual de respuesta a brechas

Una guía paso a paso creada para organizaciones multientidad que necesitan operativizar la notificación de brechas del RGPD, no solo comprenderla.

Qué incluye:

  • Cronología de 72 horas con asignación de roles para los DPD del grupo y los responsables de las filiales
  • Árbol de decisión: notificar frente a documentar, cuándo se aplica el artículo 33 y cuándo no
  • Diagrama de flujo de notificación transfronteriza para brechas multijurisdiccionales
  • Plantilla de escalado de encargado a responsable del tratamiento para incidentes intragrupo
  • Directorio de contactos de autoridades de control para la UE/EEE y Suiza
  • Lista de comprobación de documentación posterior a la brecha alineada con el artículo 33(5)

Sin spam. Cancele la suscripción cuando quiera. Sus datos se procesan dentro de la infraestructura suiza y están protegidos por la ley suiza de protección de datos. Nunca compartiremos su información con terceros.

Obtenga su manual gratuito de respuesta a brechas
Sobre esta página: referencias, definiciones y preguntas frecuentes

Conclusiones clave

Los artículos 33 y 34 del RGPD imponen estrictas obligaciones de notificación de brechas a los responsables del tratamiento: notificar a la autoridad de control en un plazo de 72 horas e informar a los interesados afectados sin dilación indebida cuando exista un alto riesgo. Las organizaciones multientidad afrontan retos agravados: conocimiento fragmentado, registros de tratamientos obsoletos, confusión jurisdiccional y lagunas en la notificación de los encargados. Una plataforma de GRC centralizada y alojada en Suiza como Priverion ayuda a unificar la recepción de incidentes, automatizar el escalado y mantener registros de brechas listos para auditoría en todas las filiales.

Definiciones

¿Qué es una brecha de datos personales según el RGPD?

Una brecha de datos personales se define en el artículo 4(12) del RGPD como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos". Esta definición abarca brechas de confidencialidad, brechas de integridad y brechas de disponibilidad. Fuente: artículo 4(12) del RGPD

¿Qué es la obligación de notificación en 72 horas?

La notificación en 72 horas hace referencia al requisito del artículo 33(1) del RGPD de que los responsables del tratamiento notifiquen a la autoridad de control competente "a más tardar 72 horas después de que haya tenido constancia" de una brecha de datos personales, a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas. Cuando la notificación no se realice en un plazo de 72 horas, deberá ir acompañada de las razones del retraso. Fuente: artículo 33 del RGPD

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?

Una evaluación de impacto relativa a la protección de datos es un proceso exigido por el artículo 35 del RGPD para las operaciones de tratamiento que "entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas". Las EIPD sirven como línea base de riesgo previa que es fundamental durante la evaluación de la gravedad de la brecha conforme al artículo 34. Fuente: artículo 35 del RGPD

¿Qué es un registro de actividades de tratamiento (registro de tratamientos)?

Un registro de actividades de tratamiento es la documentación exigida por el artículo 30 del RGPD que describe cada actividad de tratamiento, sus fines, las categorías de interesados y de datos personales, los destinatarios, las transferencias y los plazos de conservación. Un registro de tratamientos actualizado es esencial para una evaluación precisa del impacto de la brecha. Fuente: artículo 30 del RGPD

Estadísticas y fuentes autorizadas

Según las Directrices 9/2022 del CEPD sobre la notificación de brechas de datos personales, el reloj de las 72 horas comienza en el momento en que el responsable del tratamiento tiene un "grado razonable de certeza" de que un incidente de seguridad ha comprometido datos personales (Directrices 9/2022 del CEPD). El CEPD subraya que el conocimiento en cualquier entidad de un grupo empresarial puede poner en marcha el reloj para todo el grupo.

El informe ENISA Threat Landscape 2023 concluyó que el ransomware y las brechas de datos siguen estando entre las principales amenazas para las organizaciones de la UE, siendo los sectores de la salud, la administración pública y la infraestructura digital los más atacados (ENISA Threat Landscape 2023).

Conforme al artículo 83(4)(a) del RGPD, las infracciones de las obligaciones de notificación de brechas pueden dar lugar a multas administrativas de hasta 10 millones EUR o el 2% del volumen de negocio anual total mundial, la cuantía que sea mayor (artículo 83 del RGPD).

El IAPP-EY Privacy Governance Report 2023 concluyó que la organización media emplea a 5,2 profesionales de privacidad a tiempo completo, pero los grupos multientidad a menudo carecen de una coordinación centralizada de brechas, una laguna que contribuye directamente a los retrasos en la notificación (Informe IAPP-EY 2023).

Preguntas frecuentes

¿Cuál es el requisito de notificación de brechas en 72 horas del RGPD?

Conforme al artículo 33 del RGPD, los responsables del tratamiento deben notificar a la autoridad de control competente una brecha de datos personales en un plazo de 72 horas desde que tienen constancia de ella, a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas. La notificación debe describir la naturaleza de la brecha, el número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas. Fuente: artículo 33 del RGPD

¿Cuándo se debe notificar a los interesados una brecha del RGPD?

El artículo 34 del RGPD exige a los responsables del tratamiento notificar a los interesados afectados "sin dilación indebida" cuando una brecha entrañe probablemente un alto riesgo para sus derechos y libertades. Se aplican excepciones cuando el responsable del tratamiento ha implementado salvaguardas técnicas adecuadas (p. ej., cifrado), ha adoptado medidas que garantizan que el alto riesgo ya no es probable, o cuando la notificación individual supondría un esfuerzo desproporcionado. Fuente: artículo 34 del RGPD

¿Cuáles son las sanciones por no notificar a tiempo una brecha de datos del RGPD?

El incumplimiento de las obligaciones de notificación de brechas de los artículos 33 y 34 puede dar lugar a multas administrativas de hasta 10 millones EUR o el 2% del volumen de negocio anual total mundial, la cuantía que sea mayor, conforme al artículo 83(4)(a) del RGPD. Fuente: artículo 83 del RGPD

¿Se aplica el plazo de 72 horas a los encargados del tratamiento?

No. Conforme al artículo 33(2) del RGPD, los encargados del tratamiento deben notificar al responsable "sin dilación indebida" tras tener constancia de una brecha. El reloj de las 72 horas para la notificación a la autoridad de control comienza cuando el responsable del tratamiento tiene constancia, no el encargado. Fuente: artículo 33(2) del RGPD

¿Qué debe incluirse en una notificación de brecha a una autoridad de control?

El artículo 33(3) exige que la notificación incluya: (a) la naturaleza de la brecha, incluidas las categorías y el número aproximado de interesados y registros; (b) el nombre y los datos de contacto del DPD; (c) las consecuencias probables; y (d) las medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos. Fuente: artículo 33(3) del RGPD

¿Cómo afecta el mecanismo de ventanilla única a las notificaciones de brechas transfronterizas?

Conforme al artículo 56 del RGPD, la autoridad de control principal coordina las investigaciones transfronterizas. Las Directrices 9/2022 del CEPD aclaran que los responsables del tratamiento deben notificar igualmente a la autoridad principal en un plazo de 72 horas y que la autoridad principal comparte la información con las autoridades interesadas. Las organizaciones multientidad deben mapear de antemano qué autoridad es la principal para cada entidad responsable del tratamiento. Fuente: Directrices 9/2022 del CEPD

¿Cuál es la diferencia entre el artículo 33 y el artículo 34 del RGPD?

El artículo 33 regula la notificación a la autoridad de control (en un plazo de 72 horas, salvo que el riesgo sea improbable). El artículo 34 regula la comunicación a los interesados afectados (sin dilación indebida, solo cuando exista un alto riesgo). El artículo 33 se aplica a todas las brechas que planteen cualquier riesgo; el artículo 34 tiene un umbral más alto que exige un "alto riesgo para los derechos y libertades de las personas físicas". Artículo 33 | Artículo 34

¿Deben las organizaciones documentar las brechas que no son notificables?

Sí. El artículo 33(5) del RGPD exige a los responsables del tratamiento documentar todas las brechas de datos personales, con independencia de si son notificables, incluidos los hechos, los efectos y las medidas correctoras adoptadas. Este registro de brechas debe estar disponible para su inspección por la autoridad de control. Fuente: artículo 33(5) del RGPD

Comparación: notificación de brechas del RGPD frente a la LPD suiza

AspectoRGPD (UE/EEE)LPD suiza (nLPD)
Base jurídicaArtículos 33 y 34 del RGPDArtículo 24 de la nLPD
Notificación a la autoridadEn un plazo de 72 horas"Lo antes posible" (sin plazo fijo)
Umbral para la notificación a la autoridadSalvo que sea improbable que constituya un riesgoProbable que constituya un alto riesgo
Notificación a los interesadosSin dilación indebida (alto riesgo)Cuando sea necesario para la protección o lo exija el FDPIC
Obligación del encargadoNotificar al responsable sin dilación indebidaNotificar al responsable lo antes posible
Requisito de documentaciónTodas las brechas (artículo 33(5))No exigido explícitamente por la ley
Multa máxima10 M EUR o el 2% del volumen de negocio mundial250.000 CHF (responsabilidad individual)
Autoridad de controlAutoridad principal en régimen de ventanilla únicaFDPIC (Comisionado Federal de Protección de Datos)

Fuentes: Artículo 33 del RGPD | LPD suiza (nLPD) en Fedlex