Sólo en 2025 la Agencia Española de Protección de Datos -en adelante, AEPD-, recibió 2.765 notificaciones de brechas de datos personales, de las cuales el 80% pertenecen al sector privado y el 20% al sector público. Cabe destacar, que en sólo en 11 ocasiones se han trasladado para investigación adicional, por tratarse de brechas de severidad alta en las que se habían apreciado indicios de falta de diligencia de la organización bien en la respuesta a la brecha o bien en las medidas previas.
Como ya conocéis el artículo 33 del Reglamento General de Protección de Datos -RGPD-, establece en caso de violación de la seguridad de los datos personales, la obligación de notificar a la autoridad de control competente sin dilaciones indebidas, a menos que sea improbable que dicha violación de la seguridad entrañe un riesgo para los derechos y libertades de las personas físicas. Obligación, que forma parte de la responsabilidad proactiva del responsable. De hecho, la AEPD deja claro en la noticia que hacía pública el pasado 23 de enero que el hecho de notificar una brecha de seguridad no implicaba necesariamente la apertura de un procedimiento administrativo por su parte, precisamente porque no notificar es lo que sí se encuentra tipificado como infracción y no al revés, esto es, notificar en tiempo y forma.
Además, la AEPD nos recuerda la importancia de comunicar a los afectados, que equipara con la obligación de notificar a la autoridad competente. Por tanto, si la brecha conlleva un alto riesgo para los derechos y libertades de las personas afectadas, es necesario informar sobre la misma de una forma sencilla, sin dar mensajes ambiguos que puedan incluso ayudar a formar una opinión errónea en los afectados en cuanto al nivel de riesgo. De hecho, no informar a los afectados se consideraría un factor prioritario para trasladar a los servicios de inspección de la Agencia una brecha de datos personales.
Notificar en tiempo y forma + comunicación a los afectados sobre todo en casos de riesgo alto, serían algunas de las claves que evidenciarían la diligencia de las entidades u organizaciones.
Finalmente, la AEPD no ha querido desaprovechar la ocasión para recordarnos a todos la importancia de implementar medidas de protección de datos con carácter previo a que se produzca una violación de la seguridad que ocasione o pueda ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales y la necesidad de estar preparados para su gestión en caso de que se llegue a producir.
Herramientas que ofrece la AEPD para ayudar a los responsables:
Asesora Brecha ayuda a valorar la obligación de notificar sin dilación indebida a la Agencia y Comunica-Brecha RGPD, presta asistencia para decidir si las organizaciones deben comunicar la brecha de datos a las personas afectadas.
