Guía de notificación de brechas del RGPD

No pierda nunca el plazo de 72 horas del RGPD ante una brecha. Aquí tiene exactamente cuándo empieza a contar

Equivocarse ha costado millones a las empresas. Vea cómo los equipos de privacidad de las organizaciones multientidad automatizan la detección, la evaluación y la notificación de brechas para mantener el cumplimiento del artículo 33, siempre.

Reserve una evaluación gratuita de preparación ante brechas

30 minutos. Sin compromiso. Vea sus carencias antes que los reguladores.

O lea más abajo la guía completa del artículo 33

La confianza de equipos de privacidad que gestionan más de 50 entidades en toda Europa

Alojado en Suiza -- alineado con la ISO 27001

4,8/5 de satisfacción del cliente, 1.er trimestre de 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

«Antes de Priverion, una brecha en una filial podía tardar días en llegar al DPD de grupo. Ahora, cada incidente se registra de forma centralizada en cuestión de minutos; pasamos de esperar cumplir el plazo de 72 horas a saber que lo cumpliríamos.»

Responsable de protección de datos en un proveedor sanitario -- Gestión de la privacidad en 14 centros asistenciales

«Reducimos nuestro tiempo de administración del cumplimiento en un 60 % en los primeros seis meses. La escalada automatizada por sí sola nos salvó en dos incidentes que habrían sido notificaciones tardías con nuestro proceso anterior.»

Responsable de cumplimiento, fabricante de aeronaves -- Basado en una encuesta de clientes, 1.er trimestre de 2025

Capacidades clave para la respuesta ante brechas

Qué exige realmente un plazo de 72 horas a su organización

Conocer las reglas no es la parte difícil. Ejecutarlas bajo presión —entre filiales, zonas horarias y cadenas de escalada— es donde las organizaciones se desmoronan. Esto es lo que requiere una respuesta ante brechas operativamente competente.

Recepción centralizada de incidentes en cada entidad

Cuando una brecha aflora en la filial número 23 un sábado por la noche, no puede quedarse en la bandeja de entrada de alguien hasta el lunes. Necesita un único punto de recepción que capte los incidentes de cualquier entidad, cualquier empleado y cualquier zona horaria, y que los enrute de inmediato a las personas adecuadas con el contexto adecuado. Sin una recepción centralizada, el «conocimiento» se retrasa por la fricción organizativa, no por una investigación genuina.

Tasa de captura de incidentes del 100 % en todas las entidades

Un proveedor sanitario, logró una cobertura total en su grupo asistencial en un plazo de 90 días desde la implantación

Escalada automatizada y evaluación de la gravedad

En el momento en que se registra un incidente, debe evaluarse: ¿afecta a datos personales? ¿Qué categorías? ¿Cuántos interesados? ¿El riesgo es lo bastante alto como para exigir la notificación a los interesados según el artículo 34? La puntuación de riesgos asistida por IA ayuda a su equipo a tomar estas decisiones en minutos en lugar de horas, convirtiendo un juicio de valor en una decisión estructurada y documentada que resiste el escrutinio regulador.

Reducción del 60 % en el tiempo de administración del cumplimiento

Fabricante de aeronaves, medido durante los primeros 6 meses de implantación de Priverion

Flujos de trabajo de notificación multijurisdiccional

Una brecha que afecte a clientes en Alemania, Francia y Austria puede requerir la notificación a varias autoridades de control, cada una con formularios, portales y expectativas ligeramente distintos. Si su grupo no tiene una autoridad de control principal según el mecanismo de ventanilla única, su DPD se ve de repente coordinando notificaciones paralelas bajo el mismo reloj en marcha. Las plantillas preconfiguradas y los flujos de trabajo específicos por jurisdicción convierten una pesadilla de coordinación en un proceso gestionado.

Soporte de DPD 24/7 en varias entidades

Trapeze Group, soporte operativo continuo para la gestión de la privacidad entre entidades

Paquetes de evidencias listos para auditoría bajo demanda

Los reguladores no solo preguntan si notificó a tiempo. Preguntan cómo determinó que la brecha era notificable, cómo fue su proceso de evaluación, quién participó y qué evidencias fundamentaron cada decisión. Si esas respuestas viven en hilos de correo electrónico y mensajes de Slack, está construyendo su defensa a partir de fragmentos. Un registro de incidentes estructurado —con decisiones con marca de tiempo, puntuaciones de riesgo y rastros de aprobación— es su prueba de que el «conocimiento» se gestionó correctamente.

Más de 200 horas ahorradas en la preparación de auditorías

Una empresa de tecnología médica, durante la preparación de la certificación ISO 27001 utilizando Priverion

Coordinación de brechas de proveedores y seguimiento de encargados

Cuando un encargado del tratamiento descubre una brecha, el artículo 33(2) le exige notificarle «sin dilación indebida». Pero si sus contratos con proveedores son inconsistentes o su inventario de encargados está disperso por las unidades del departamento jurídico, ni siquiera puede verificar si se cumplieron las obligaciones de notificación. Las evaluaciones de riesgo de proveedores centralizadas —incluidas las cláusulas contractuales de notificación de brechas— garantizan que sepa exactamente qué encargados le deben qué y con qué rapidez.

Cobertura del 100 % en la evaluación de riesgo de proveedores

Un proveedor sanitario, cobertura completa del riesgo de terceros en todos los centros asistenciales

Soberanía de datos suiza para los registros de brechas

Su documentación de brechas contiene algunos de los datos más sensibles que su organización generará jamás: detalles de fallos de seguridad, categorías de interesados afectados, notas de evaluación internas. Almacenar esto en una plataforma alojada en EE. UU. crea un riesgo de transferencia transfronteriza secundario que se suma a la propia brecha. Todos los datos de Priverion —incluidos los registros de incidentes y los paquetes de evidencias— se tratan y almacenan dentro de infraestructura suiza, bajo la ley suiza de protección de datos.

Desarrollado y alojado en Suiza

Todo el tratamiento de datos dentro de infraestructura suiza, residencia de datos europea garantizada

Vea cómo Priverion automatiza la detección y la notificación de brechas para organizaciones multientidad, en 30 minutos.

Reserve una evaluación gratuita de preparación ante brechas

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al sustituir el registro manual por flujos de trabajo de recertificación automatizados.

60 %

Menor coste frente a las plataformas empresariales heredadas

Basado en comparativas de precios publicadas con OneTrust para organizaciones multientidad que gestionan más de 10 filiales. Sin tarifas por usuario, sin expansión por módulos.

3 meses

Por delante del calendario en la preparación de la ISO 27001

Una empresa de tecnología médica aceleró el calendario de su certificación ISO 27001 en tres meses utilizando los paquetes de evidencias listos para auditoría y la documentación automatizada de Priverion.

Con conocimiento de la competencia

Por qué los equipos de privacidad del mercado intermedio abandonan OneTrust

No necesita una plataforma diseñada para empresas de la Fortune 50, y con un precio acorde. Necesita un cumplimiento de nivel empresarial que se ajuste a cómo funciona realmente su organización.

La experiencia OneTrust

Precios por módulo

¿Necesita gestión del registro de tratamientos, EIPD, riesgo de proveedores y solicitudes de los interesados? Son cuatro partidas separadas. Las solicitudes de presupuesto se convierten en negociaciones, y los costes se disparan de forma impredecible a medida que añade usuarios o entidades.

Infraestructura alojada en EE. UU.

En un mundo posterior a Schrems II, alojar sus datos de cumplimiento con un proveedor con sede en EE. UU. crea exactamente el riesgo de transferencia que se supone que su programa de privacidad debe mitigar. Las opciones de centros de datos en la UE no resuelven la cuestión jurisdiccional.

Complejidad diseñada para la Fortune 50

Cientos de funciones que nunca utilizará. Plazos de implementación de meses. Su equipo dedica más tiempo a aprender la herramienta que a gestionar la privacidad, exactamente el problema que el software debía resolver.

Más de 200 integraciones superficiales

Una larga lista de conectores resulta impresionante en una demostración. En la práctica, las integraciones superficiales se rompen, requieren un mantenimiento constante y rara vez aportan la profundidad de datos que sus flujos de trabajo de privacidad realmente necesitan.

La multientidad como una idea de última hora

La visibilidad de todo el grupo requiere soluciones improvisadas y configuración personalizada. Gestionar 12 filiales no debería ser como gestionar 12 despliegues separados.

La experiencia Priverion

Precio de plataforma todo en uno

Registro de tratamientos, EIPD, riesgo de proveedores, solicitudes de los interesados, gestión de incidentes, registro de IA, todo incluido. Precios basados en el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Sin trampas de expansión, sin facturas sorpresa en la renovación.

Desarrollado en Suiza, alojado en Suiza

Todo el tratamiento de datos dentro de infraestructura suiza, una de las pocas jurisdicciones con una decisión de adecuación de la UE. Para nosotros, la residencia de datos europea no es una casilla que marcar. Es nuestra identidad. Sus datos de cumplimiento permanecen fuera de la jurisdicción estadounidense, sin excepción.

Operativo en semanas, no en meses

Un fabricante de aeronaves logró una reducción del 60 % en el tiempo de administración del cumplimiento en sus primeros 6 meses. Una experiencia de usuario más sencilla significa que su equipo dedica tiempo a gestionar la privacidad, no a aprender software.

Fabricante de aeronaves, primeros 6 meses tras la implantación

Integraciones profundas que importan

Nos integramos en profundidad con los sistemas que impulsan los flujos de trabajo de privacidad —RR. HH., compras, gestión de activos de TI— en lugar de ofrecer 200 conectores superficiales que generan sobrecarga de mantenimiento y aportan datos superficiales.

De todo el grupo, por diseño

La gestión multientidad es nuestra arquitectura central, no un añadido. Una aseguradora suiza logró una recertificación del registro de tratamientos del 100 % en todas las entidades, totalmente automatizada. Un panel, cada filial, visibilidad completa.

Una aseguradora suiza, recertificación automatizada del registro de tratamientos en todas las entidades del grupo

La guía completa: notificación de brechas del RGPD en 72 horas según el artículo 33

El artículo 33 del RGPD exige a los responsables del tratamiento notificar a las autoridades de control las brechas de datos personales «sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella». Esas pocas palabras han generado más orientación reguladora, acciones sancionadoras y ansiedad por el cumplimiento que casi cualquier otra disposición del reglamento.

La pregunta crítica no es «¿con qué rapidez tenemos que notificar?»; es «¿cuándo empieza realmente a contar el plazo?».

Qué significa el «conocimiento» según el artículo 33

El plazo de 72 horas no comienza cuando se produce la brecha. Comienza cuando el responsable del tratamiento «tiene constancia» de la brecha. El Comité Europeo de Protección de Datos (EDPB) lo ha aclarado en sus Directrices 9/2022 sobre la notificación de brechas de datos personales:

Debe considerarse que un responsable del tratamiento ha «tenido constancia» cuando tiene un grado razonable de certeza de que se ha producido un incidente de seguridad que ha llevado a que se comprometan datos personales.

Directrices 9/2022 del EDPB, apartado 72

Esto significa que el plazo no empieza en el momento en que alguien de su organización sospecha que algo podría ir mal. Empieza cuando tiene un «grado razonable de certeza» de que se han comprometido datos personales. No obstante —y aquí es donde las organizaciones se meten en problemas—, no puede retrasar el conocimiento optando por no investigar.

El criterio del «debería haber sabido»

Los reguladores han sostenido de forma consistente que las organizaciones no pueden alegar desconocimiento si no implementaron medidas de detección razonables. Si una brecha era detectable mediante una supervisión estándar y su organización no la detectó porque la supervisión era inadecuada, los reguladores tratarán el momento en que la brecha debería haberse detectado como el momento del conocimiento.

Este principio se puso a prueba en varias acciones sancionadoras destacadas:

  • La autoridad neerlandesa de protección de datos multó a Booking.com por notificación tardía, al concluir que el conocimiento se produjo cuando hoteles individuales informaron de un acceso no autorizado, no cuando el equipo central de Booking.com completó su investigación interna semanas después.
  • La ICO del Reino Unido concluyó que el conocimiento de Marriott se retrasó porque la empresa heredó los sistemas comprometidos de Starwood y no realizó la debida diligencia adecuada, heredando de hecho el calendario de conocimiento de la brecha.
  • La AEPD española ha sostenido de forma consistente que el conocimiento de un responsable del tratamiento comienza cuando cualquier empleado con autoridad para actuar sobre la información la recibe, no cuando se notifica formalmente al DPD.

¿Cuándo empieza a contar el plazo para los encargados del tratamiento?

El artículo 33(2) impone una obligación separada a los encargados del tratamiento: deben notificar al responsable «sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales». No se especifica un plazo de 72 horas para los encargados, pero «sin dilación indebida» se ha interpretado de forma restrictiva.

Para los responsables del tratamiento, esto crea un calendario en cascada. Si su encargado tiene conocimiento el lunes y le notifica el miércoles, su plazo de 72 horas empieza el miércoles; pero si la dilación del encargado fue irrazonable, la autoridad de control aún puede examinar el calendario en su conjunto.

Por eso importan las cláusulas contractuales de notificación de brechas. Si sus contratos con proveedores especifican una «notificación del encargado en 48 horas» pero su inventario de encargados está disperso por unidades compartidas, no puede verificar si se respetaron esas cláusulas, ni siquiera qué encargados son relevantes para la brecha.

¿Qué cuenta como «sin dilación indebida»?

Las 72 horas son un máximo, no un objetivo. El RGPD dice «sin dilación indebida y, de ser posible, a más tardar 72 horas». Esto significa:

  • Si puede notificar en 24 horas, debe hacerlo. Esperar hasta la hora 71 cuando tenía información suficiente en la hora 12 es en sí mismo un incumplimiento.
  • Si genuinamente no puede completar su evaluación en 72 horas, puede presentar una notificación por fases, pero debe indicar los motivos de la demora y aportar la información inicial dentro del plazo de 72 horas.
  • Los fines de semana y los días festivos no detienen el reloj. Si el conocimiento se produce a las 23:00 de un viernes, tiene hasta las 23:00 del lunes.

¿Qué información debe contener la notificación?

El artículo 33(3) especifica el contenido mínimo de las notificaciones de brechas:

  • La naturaleza de la brecha de datos personales, incluidas las categorías y el número aproximado de interesados y registros
  • El nombre y los datos de contacto del DPD u otro punto de contacto
  • Una descripción de las posibles consecuencias de la brecha
  • Una descripción de las medidas adoptadas o propuestas para abordar la brecha, incluida la mitigación

Para las organizaciones multientidad, esto crea un reto de coordinación. Si la brecha afecta a interesados de varias filiales en diferentes jurisdicciones, es posible que tenga que presentar la notificación ante varias autoridades de control, a menos que disponga de una autoridad principal según el mecanismo de ventanilla única.

El problema de la coordinación multientidad

El plazo de 72 horas ya es bastante exigente para una sola organización. Para los grupos empresariales que gestionan el cumplimiento en 10, 20 o más de 50 entidades, se vuelve exponencialmente más difícil:

  • ¿Qué entidad es el responsable del tratamiento: la filial donde se produjo la brecha o la empresa matriz?
  • Si varias entidades comparten un sistema de tratamiento de datos, ¿el conocimiento en una entidad constituye conocimiento para todas?
  • ¿Quién tiene autoridad para presentar la notificación: el DPD local, el DPD de grupo o el departamento jurídico?
  • ¿Qué autoridad de control recibe la notificación cuando los interesados afectados abarcan varios Estados miembros?

Estas preguntas no pueden responderse durante una brecha. Deben resolverse de antemano, documentarse en su plan de respuesta a incidentes y ponerse a prueba mediante ejercicios de simulación periódicos.

El 78 % de las organizaciones multientidad todavía gestionan sus registros de tratamientos en hojas de cálculo. Si sus registros de tratamiento están fragmentados entre filiales, determinar el alcance de una brecha —qué categorías de datos, qué interesados, qué jurisdicciones— lleva días en lugar de horas. El plazo de 72 horas no espera a que se concilien sus hojas de cálculo.

Basado en el análisis de Priverion sobre la madurez de los programas de privacidad de clientes potenciales empresariales, 2023-2024

Cuándo no se requiere la notificación

No toda brecha activa el plazo de 72 horas. El artículo 33(1) incluye una salvedad importante: la notificación es obligatoria «a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas».

Esta evaluación del riesgo es donde muchas organizaciones tienen dificultades. El EDPB ha facilitado ejemplos:

  • Se roba un portátil cifrado y la clave de cifrado no se vio comprometida: probablemente sin riesgo, probablemente sin notificación obligatoria
  • Un breve corte de electricidad provoca una incapacidad temporal de acceder a los historiales de los pacientes: el riesgo depende del contexto (atención de urgencia frente a historiales rutinarios)
  • Un correo electrónico que contiene datos personales se envía al destinatario equivocado, que confirma su eliminación sin leerlo: bajo riesgo, pero sigue siendo una brecha que debe documentarse internamente

Incluso cuando no se requiere la notificación a la autoridad de control, el artículo 33(5) le obliga a documentar la brecha, sus efectos y las medidas correctoras adoptadas. Esta documentación debe estar disponible para su revisión por la autoridad de control cuando lo solicite.

Cómo hacer manejable el plazo de 72 horas

Las organizaciones que cumplen de forma consistente el plazo de 72 horas comparten características comunes:

  • Disponen de un sistema centralizado de recepción de incidentes que capta las brechas de cualquier entidad, cualquier empleado y cualquier zona horaria, eliminando la fricción organizativa que retrasa el conocimiento
  • Utilizan marcos estructurados de evaluación de riesgos (no juicios de valor improvisados) para determinar la obligación de notificar en cuestión de minutos desde la recepción
  • Mantienen registros de tratamientos actuales y precisos para que la evaluación del alcance de la brecha no requiera días de recopilación manual de datos
  • Disponen de plantillas de notificación preconfiguradas para cada autoridad de control pertinente, reduciendo el tiempo de redacción de horas a minutos
  • Documentan cada decisión con marcas de tiempo, creando el rastro de auditoría que demuestra el cumplimiento incluso cuando el calendario es ajustado

El plazo de 72 horas es exigente por diseño. Obliga a las organizaciones a construir la infraestructura operativa que hace sostenible la gestión de la privacidad: no solo conforme sobre el papel, sino resistente bajo presión.

Deje de gestionar la privacidad en hojas de cálculo

Vea cómo es la gestión de la privacidad de todo el grupo cuando realmente funciona

En 30 minutos, recorreremos su configuración multientidad específica: cómo funcionan la recertificación automatizada del registro de tratamientos, las EIPD asistidas por IA y el mapeo de datos entre entidades para organizaciones como la suya. Todo desarrollado y alojado en Suiza. Sin argumentario de venta, sin enumeración de funciones. Solo claridad sobre si Priverion encaja en su programa.

60 %

Menos tiempo de administración del cumplimiento

Fabricante de aeronaves, primeros 6 meses

200+

Horas ahorradas en la preparación de la ISO 27001

Una empresa de tecnología médica

Semanas

Hasta el despliegue completo, no meses

Media en toda la base de clientes

Reserve una evaluación gratuita de preparación ante brechas

Sin compromiso. Precios predecibles, sin sorpresas por usuario ni por módulo.

The Privacy Compliance Briefing

Análisis mensuales sobre la aplicación del RGPD, las novedades de la LPD suiza y estrategias de automatización para DPD y equipos de cumplimiento.

Sin spam. Cancele la suscripción cuando quiera.

Reserve una evaluación gratuita de preparación ante brechas

30 min. Sin compromiso.