No pierda nunca el plazo de 72 horas del RGPD ante una brecha. Aquí tiene exactamente cuándo empieza a contar
Equivocarse ha costado millones a las empresas. Vea cómo los equipos de privacidad de las organizaciones multientidad automatizan la detección, la evaluación y la notificación de brechas para mantener el cumplimiento del artículo 33, siempre.
30 minutos. Sin compromiso. Vea sus carencias antes que los reguladores.
O lea más abajo la guía completa del artículo 33«Antes de Priverion, una brecha en una filial podía tardar días en llegar al DPD de grupo. Ahora, cada incidente se registra de forma centralizada en cuestión de minutos; pasamos de esperar cumplir el plazo de 72 horas a saber que lo cumpliríamos.»
Responsable de protección de datos en un proveedor sanitario -- Gestión de la privacidad en 14 centros asistenciales
«Reducimos nuestro tiempo de administración del cumplimiento en un 60 % en los primeros seis meses. La escalada automatizada por sí sola nos salvó en dos incidentes que habrían sido notificaciones tardías con nuestro proceso anterior.»
Responsable de cumplimiento, fabricante de aeronaves -- Basado en una encuesta de clientes, 1.er trimestre de 2025
Qué exige realmente un plazo de 72 horas a su organización
Conocer las reglas no es la parte difícil. Ejecutarlas bajo presión —entre filiales, zonas horarias y cadenas de escalada— es donde las organizaciones se desmoronan. Esto es lo que requiere una respuesta ante brechas operativamente competente.
Recepción centralizada de incidentes en cada entidad
Cuando una brecha aflora en la filial número 23 un sábado por la noche, no puede quedarse en la bandeja de entrada de alguien hasta el lunes. Necesita un único punto de recepción que capte los incidentes de cualquier entidad, cualquier empleado y cualquier zona horaria, y que los enrute de inmediato a las personas adecuadas con el contexto adecuado. Sin una recepción centralizada, el «conocimiento» se retrasa por la fricción organizativa, no por una investigación genuina.
Tasa de captura de incidentes del 100 % en todas las entidades
Un proveedor sanitario, logró una cobertura total en su grupo asistencial en un plazo de 90 días desde la implantación
Escalada automatizada y evaluación de la gravedad
En el momento en que se registra un incidente, debe evaluarse: ¿afecta a datos personales? ¿Qué categorías? ¿Cuántos interesados? ¿El riesgo es lo bastante alto como para exigir la notificación a los interesados según el artículo 34? La puntuación de riesgos asistida por IA ayuda a su equipo a tomar estas decisiones en minutos en lugar de horas, convirtiendo un juicio de valor en una decisión estructurada y documentada que resiste el escrutinio regulador.
Reducción del 60 % en el tiempo de administración del cumplimiento
Fabricante de aeronaves, medido durante los primeros 6 meses de implantación de Priverion
Flujos de trabajo de notificación multijurisdiccional
Una brecha que afecte a clientes en Alemania, Francia y Austria puede requerir la notificación a varias autoridades de control, cada una con formularios, portales y expectativas ligeramente distintos. Si su grupo no tiene una autoridad de control principal según el mecanismo de ventanilla única, su DPD se ve de repente coordinando notificaciones paralelas bajo el mismo reloj en marcha. Las plantillas preconfiguradas y los flujos de trabajo específicos por jurisdicción convierten una pesadilla de coordinación en un proceso gestionado.
Soporte de DPD 24/7 en varias entidades
Trapeze Group, soporte operativo continuo para la gestión de la privacidad entre entidades
Paquetes de evidencias listos para auditoría bajo demanda
Los reguladores no solo preguntan si notificó a tiempo. Preguntan cómo determinó que la brecha era notificable, cómo fue su proceso de evaluación, quién participó y qué evidencias fundamentaron cada decisión. Si esas respuestas viven en hilos de correo electrónico y mensajes de Slack, está construyendo su defensa a partir de fragmentos. Un registro de incidentes estructurado —con decisiones con marca de tiempo, puntuaciones de riesgo y rastros de aprobación— es su prueba de que el «conocimiento» se gestionó correctamente.
Más de 200 horas ahorradas en la preparación de auditorías
Una empresa de tecnología médica, durante la preparación de la certificación ISO 27001 utilizando Priverion
Coordinación de brechas de proveedores y seguimiento de encargados
Cuando un encargado del tratamiento descubre una brecha, el artículo 33(2) le exige notificarle «sin dilación indebida». Pero si sus contratos con proveedores son inconsistentes o su inventario de encargados está disperso por las unidades del departamento jurídico, ni siquiera puede verificar si se cumplieron las obligaciones de notificación. Las evaluaciones de riesgo de proveedores centralizadas —incluidas las cláusulas contractuales de notificación de brechas— garantizan que sepa exactamente qué encargados le deben qué y con qué rapidez.
Cobertura del 100 % en la evaluación de riesgo de proveedores
Un proveedor sanitario, cobertura completa del riesgo de terceros en todos los centros asistenciales
Soberanía de datos suiza para los registros de brechas
Su documentación de brechas contiene algunos de los datos más sensibles que su organización generará jamás: detalles de fallos de seguridad, categorías de interesados afectados, notas de evaluación internas. Almacenar esto en una plataforma alojada en EE. UU. crea un riesgo de transferencia transfronteriza secundario que se suma a la propia brecha. Todos los datos de Priverion —incluidos los registros de incidentes y los paquetes de evidencias— se tratan y almacenan dentro de infraestructura suiza, bajo la ley suiza de protección de datos.
Desarrollado y alojado en Suiza
Todo el tratamiento de datos dentro de infraestructura suiza, residencia de datos europea garantizada
Vea cómo Priverion automatiza la detección y la notificación de brechas para organizaciones multientidad, en 30 minutos.
Reserve una evaluación gratuita de preparación ante brechas200+
Horas ahorradas en la gestión del registro de tratamientos
Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al sustituir el registro manual por flujos de trabajo de recertificación automatizados.
60 %
Menor coste frente a las plataformas empresariales heredadas
Basado en comparativas de precios publicadas con OneTrust para organizaciones multientidad que gestionan más de 10 filiales. Sin tarifas por usuario, sin expansión por módulos.
3 meses
Por delante del calendario en la preparación de la ISO 27001
Una empresa de tecnología médica aceleró el calendario de su certificación ISO 27001 en tres meses utilizando los paquetes de evidencias listos para auditoría y la documentación automatizada de Priverion.
Por qué los equipos de privacidad del mercado intermedio abandonan OneTrust
No necesita una plataforma diseñada para empresas de la Fortune 50, y con un precio acorde. Necesita un cumplimiento de nivel empresarial que se ajuste a cómo funciona realmente su organización.
La experiencia OneTrust
Precios por módulo
¿Necesita gestión del registro de tratamientos, EIPD, riesgo de proveedores y solicitudes de los interesados? Son cuatro partidas separadas. Las solicitudes de presupuesto se convierten en negociaciones, y los costes se disparan de forma impredecible a medida que añade usuarios o entidades.
Infraestructura alojada en EE. UU.
En un mundo posterior a Schrems II, alojar sus datos de cumplimiento con un proveedor con sede en EE. UU. crea exactamente el riesgo de transferencia que se supone que su programa de privacidad debe mitigar. Las opciones de centros de datos en la UE no resuelven la cuestión jurisdiccional.
Complejidad diseñada para la Fortune 50
Cientos de funciones que nunca utilizará. Plazos de implementación de meses. Su equipo dedica más tiempo a aprender la herramienta que a gestionar la privacidad, exactamente el problema que el software debía resolver.
Más de 200 integraciones superficiales
Una larga lista de conectores resulta impresionante en una demostración. En la práctica, las integraciones superficiales se rompen, requieren un mantenimiento constante y rara vez aportan la profundidad de datos que sus flujos de trabajo de privacidad realmente necesitan.
La multientidad como una idea de última hora
La visibilidad de todo el grupo requiere soluciones improvisadas y configuración personalizada. Gestionar 12 filiales no debería ser como gestionar 12 despliegues separados.
La experiencia Priverion
Precio de plataforma todo en uno
Registro de tratamientos, EIPD, riesgo de proveedores, solicitudes de los interesados, gestión de incidentes, registro de IA, todo incluido. Precios basados en el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Sin trampas de expansión, sin facturas sorpresa en la renovación.
Desarrollado en Suiza, alojado en Suiza
Todo el tratamiento de datos dentro de infraestructura suiza, una de las pocas jurisdicciones con una decisión de adecuación de la UE. Para nosotros, la residencia de datos europea no es una casilla que marcar. Es nuestra identidad. Sus datos de cumplimiento permanecen fuera de la jurisdicción estadounidense, sin excepción.
Operativo en semanas, no en meses
Un fabricante de aeronaves logró una reducción del 60 % en el tiempo de administración del cumplimiento en sus primeros 6 meses. Una experiencia de usuario más sencilla significa que su equipo dedica tiempo a gestionar la privacidad, no a aprender software.
Fabricante de aeronaves, primeros 6 meses tras la implantación
Integraciones profundas que importan
Nos integramos en profundidad con los sistemas que impulsan los flujos de trabajo de privacidad —RR. HH., compras, gestión de activos de TI— en lugar de ofrecer 200 conectores superficiales que generan sobrecarga de mantenimiento y aportan datos superficiales.
De todo el grupo, por diseño
La gestión multientidad es nuestra arquitectura central, no un añadido. Una aseguradora suiza logró una recertificación del registro de tratamientos del 100 % en todas las entidades, totalmente automatizada. Un panel, cada filial, visibilidad completa.
Una aseguradora suiza, recertificación automatizada del registro de tratamientos en todas las entidades del grupo
La guía completa: notificación de brechas del RGPD en 72 horas según el artículo 33
El artículo 33 del RGPD exige a los responsables del tratamiento notificar a las autoridades de control las brechas de datos personales «sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella». Esas pocas palabras han generado más orientación reguladora, acciones sancionadoras y ansiedad por el cumplimiento que casi cualquier otra disposición del reglamento.
La pregunta crítica no es «¿con qué rapidez tenemos que notificar?»; es «¿cuándo empieza realmente a contar el plazo?».
Qué significa el «conocimiento» según el artículo 33
El plazo de 72 horas no comienza cuando se produce la brecha. Comienza cuando el responsable del tratamiento «tiene constancia» de la brecha. El Comité Europeo de Protección de Datos (EDPB) lo ha aclarado en sus Directrices 9/2022 sobre la notificación de brechas de datos personales:
Debe considerarse que un responsable del tratamiento ha «tenido constancia» cuando tiene un grado razonable de certeza de que se ha producido un incidente de seguridad que ha llevado a que se comprometan datos personales.
Directrices 9/2022 del EDPB, apartado 72
Esto significa que el plazo no empieza en el momento en que alguien de su organización sospecha que algo podría ir mal. Empieza cuando tiene un «grado razonable de certeza» de que se han comprometido datos personales. No obstante —y aquí es donde las organizaciones se meten en problemas—, no puede retrasar el conocimiento optando por no investigar.
El criterio del «debería haber sabido»
Los reguladores han sostenido de forma consistente que las organizaciones no pueden alegar desconocimiento si no implementaron medidas de detección razonables. Si una brecha era detectable mediante una supervisión estándar y su organización no la detectó porque la supervisión era inadecuada, los reguladores tratarán el momento en que la brecha debería haberse detectado como el momento del conocimiento.
Este principio se puso a prueba en varias acciones sancionadoras destacadas:
- La autoridad neerlandesa de protección de datos multó a Booking.com por notificación tardía, al concluir que el conocimiento se produjo cuando hoteles individuales informaron de un acceso no autorizado, no cuando el equipo central de Booking.com completó su investigación interna semanas después.
- La ICO del Reino Unido concluyó que el conocimiento de Marriott se retrasó porque la empresa heredó los sistemas comprometidos de Starwood y no realizó la debida diligencia adecuada, heredando de hecho el calendario de conocimiento de la brecha.
- La AEPD española ha sostenido de forma consistente que el conocimiento de un responsable del tratamiento comienza cuando cualquier empleado con autoridad para actuar sobre la información la recibe, no cuando se notifica formalmente al DPD.
¿Cuándo empieza a contar el plazo para los encargados del tratamiento?
El artículo 33(2) impone una obligación separada a los encargados del tratamiento: deben notificar al responsable «sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales». No se especifica un plazo de 72 horas para los encargados, pero «sin dilación indebida» se ha interpretado de forma restrictiva.
Para los responsables del tratamiento, esto crea un calendario en cascada. Si su encargado tiene conocimiento el lunes y le notifica el miércoles, su plazo de 72 horas empieza el miércoles; pero si la dilación del encargado fue irrazonable, la autoridad de control aún puede examinar el calendario en su conjunto.
Por eso importan las cláusulas contractuales de notificación de brechas. Si sus contratos con proveedores especifican una «notificación del encargado en 48 horas» pero su inventario de encargados está disperso por unidades compartidas, no puede verificar si se respetaron esas cláusulas, ni siquiera qué encargados son relevantes para la brecha.
¿Qué cuenta como «sin dilación indebida»?
Las 72 horas son un máximo, no un objetivo. El RGPD dice «sin dilación indebida y, de ser posible, a más tardar 72 horas». Esto significa:
- Si puede notificar en 24 horas, debe hacerlo. Esperar hasta la hora 71 cuando tenía información suficiente en la hora 12 es en sí mismo un incumplimiento.
- Si genuinamente no puede completar su evaluación en 72 horas, puede presentar una notificación por fases, pero debe indicar los motivos de la demora y aportar la información inicial dentro del plazo de 72 horas.
- Los fines de semana y los días festivos no detienen el reloj. Si el conocimiento se produce a las 23:00 de un viernes, tiene hasta las 23:00 del lunes.
¿Qué información debe contener la notificación?
El artículo 33(3) especifica el contenido mínimo de las notificaciones de brechas:
- La naturaleza de la brecha de datos personales, incluidas las categorías y el número aproximado de interesados y registros
- El nombre y los datos de contacto del DPD u otro punto de contacto
- Una descripción de las posibles consecuencias de la brecha
- Una descripción de las medidas adoptadas o propuestas para abordar la brecha, incluida la mitigación
Para las organizaciones multientidad, esto crea un reto de coordinación. Si la brecha afecta a interesados de varias filiales en diferentes jurisdicciones, es posible que tenga que presentar la notificación ante varias autoridades de control, a menos que disponga de una autoridad principal según el mecanismo de ventanilla única.
El problema de la coordinación multientidad
El plazo de 72 horas ya es bastante exigente para una sola organización. Para los grupos empresariales que gestionan el cumplimiento en 10, 20 o más de 50 entidades, se vuelve exponencialmente más difícil:
- ¿Qué entidad es el responsable del tratamiento: la filial donde se produjo la brecha o la empresa matriz?
- Si varias entidades comparten un sistema de tratamiento de datos, ¿el conocimiento en una entidad constituye conocimiento para todas?
- ¿Quién tiene autoridad para presentar la notificación: el DPD local, el DPD de grupo o el departamento jurídico?
- ¿Qué autoridad de control recibe la notificación cuando los interesados afectados abarcan varios Estados miembros?
Estas preguntas no pueden responderse durante una brecha. Deben resolverse de antemano, documentarse en su plan de respuesta a incidentes y ponerse a prueba mediante ejercicios de simulación periódicos.
El 78 % de las organizaciones multientidad todavía gestionan sus registros de tratamientos en hojas de cálculo. Si sus registros de tratamiento están fragmentados entre filiales, determinar el alcance de una brecha —qué categorías de datos, qué interesados, qué jurisdicciones— lleva días en lugar de horas. El plazo de 72 horas no espera a que se concilien sus hojas de cálculo.
Basado en el análisis de Priverion sobre la madurez de los programas de privacidad de clientes potenciales empresariales, 2023-2024
Cuándo no se requiere la notificación
No toda brecha activa el plazo de 72 horas. El artículo 33(1) incluye una salvedad importante: la notificación es obligatoria «a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas».
Esta evaluación del riesgo es donde muchas organizaciones tienen dificultades. El EDPB ha facilitado ejemplos:
- Se roba un portátil cifrado y la clave de cifrado no se vio comprometida: probablemente sin riesgo, probablemente sin notificación obligatoria
- Un breve corte de electricidad provoca una incapacidad temporal de acceder a los historiales de los pacientes: el riesgo depende del contexto (atención de urgencia frente a historiales rutinarios)
- Un correo electrónico que contiene datos personales se envía al destinatario equivocado, que confirma su eliminación sin leerlo: bajo riesgo, pero sigue siendo una brecha que debe documentarse internamente
Incluso cuando no se requiere la notificación a la autoridad de control, el artículo 33(5) le obliga a documentar la brecha, sus efectos y las medidas correctoras adoptadas. Esta documentación debe estar disponible para su revisión por la autoridad de control cuando lo solicite.
Cómo hacer manejable el plazo de 72 horas
Las organizaciones que cumplen de forma consistente el plazo de 72 horas comparten características comunes:
- Disponen de un sistema centralizado de recepción de incidentes que capta las brechas de cualquier entidad, cualquier empleado y cualquier zona horaria, eliminando la fricción organizativa que retrasa el conocimiento
- Utilizan marcos estructurados de evaluación de riesgos (no juicios de valor improvisados) para determinar la obligación de notificar en cuestión de minutos desde la recepción
- Mantienen registros de tratamientos actuales y precisos para que la evaluación del alcance de la brecha no requiera días de recopilación manual de datos
- Disponen de plantillas de notificación preconfiguradas para cada autoridad de control pertinente, reduciendo el tiempo de redacción de horas a minutos
- Documentan cada decisión con marcas de tiempo, creando el rastro de auditoría que demuestra el cumplimiento incluso cuando el calendario es ajustado
El plazo de 72 horas es exigente por diseño. Obliga a las organizaciones a construir la infraestructura operativa que hace sostenible la gestión de la privacidad: no solo conforme sobre el papel, sino resistente bajo presión.
Deje de gestionar la privacidad en hojas de cálculo
Vea cómo es la gestión de la privacidad de todo el grupo cuando realmente funciona
En 30 minutos, recorreremos su configuración multientidad específica: cómo funcionan la recertificación automatizada del registro de tratamientos, las EIPD asistidas por IA y el mapeo de datos entre entidades para organizaciones como la suya. Todo desarrollado y alojado en Suiza. Sin argumentario de venta, sin enumeración de funciones. Solo claridad sobre si Priverion encaja en su programa.
60 %
Menos tiempo de administración del cumplimiento
Fabricante de aeronaves, primeros 6 meses
200+
Horas ahorradas en la preparación de la ISO 27001
Una empresa de tecnología médica
Semanas
Hasta el despliegue completo, no meses
Media en toda la base de clientes
Sin compromiso. Precios predecibles, sin sorpresas por usuario ni por módulo.


