¿Qué es una brecha de datos y qué debe hacer tu empresa en las primeras 72 horas?

La mayoría de los empresarios imaginan una brecha de datos como un ciberataque dramático: hackers con capucha, servidores comprometidos, peticiones de rescate. La realidad es más mundana y mucho más frecuente. Una brecha de datos es cualquier incidente en el que datos personales son accedidos, divulgados, alterados, perdidos o destruidos de forma accidental o ilícita — independientemente de si fue intencionado.

Ese correo electrónico mal dirigido con los datos financieros de un cliente. El portátil olvidado en el tren. La carpeta de Google Drive compartida que se configuró accidentalmente como pública. El exempleado cuyo acceso nunca fue revocado. Bajo el RGPD y la mayoría de las leyes nacionales de protección de datos, todos estos casos son brechas de datos notificables si alcanzan el umbral de riesgo para los derechos y libertades de los individuos.

Y una vez que ocurre, tienes 72 horas para notificar a tu autoridad de supervisión.

Qué cuenta como brecha de datos personales

Una brecha no requiere intención maliciosa. La definición legal abarca tres tipos de fallos:

Brecha de confidencialidad: divulgación no autorizada o accidental de datos personales. Alguien externo a la organización ve datos que no debería.

Brecha de integridad: alteración no autorizada o accidental de datos personales. Los registros se modifican sin autorización.

Brecha de disponibilidad: pérdida accidental o no autorizada del acceso a datos personales. Los datos se pierden, se cifran mediante ransomware o se eliminan y no pueden recuperarse.

Cualquiera de estos, que afecte a datos personales de personas en tu jurisdicción, puede activar las obligaciones de notificación. La pregunta clave no es si hubo una brecha, sino qué riesgo crea.

El umbral de riesgo

No toda brecha debe notificarse a la autoridad de supervisión. La notificación es obligatoria cuando la brecha “sea probable que resulte en un riesgo para los derechos y libertades de las personas físicas”. La notificación directa a los afectados es obligatoria cuando el riesgo sea “alto”.

Evaluar el riesgo implica considerar:

• La sensibilidad de los datos afectados (datos financieros, registros de salud, contraseñas y documentos de identidad conllevan mayor riesgo que nombres y correos profesionales)
• El número de personas afectadas
• La facilidad con la que los datos podrían usarse para perjudicar a esas personas
• Si los datos han sido accedidos realmente o solo potencialmente expuestos

Ante la duda, notifica. Las autoridades de supervisión tratan una notificación tardía con mucha más severidad que una excesivamente cautelosa.

El reloj de las 72 horas

Desde el momento en que tu organización “tiene conocimiento” de una brecha — es decir, cualquier miembro del personal que razonablemente sería considerado responsable tiene conocimiento de ella — el reloj empieza a correr. Tienes 72 horas para notificar a tu autoridad de supervisión.

Esto no significa que necesites todas las respuestas en 72 horas. La notificación inicial puede reconocer lo que sabes, lo que aún no sabes y qué medidas estás tomando para averiguarlo. Puedes complementar la notificación con información adicional conforme avanza tu investigación.

Lo que no puedes hacer es esperar a completar una investigación completa antes de notificar.

Qué debe incluir tu notificación inicial

• Naturaleza de la brecha: qué tipo de datos se vieron afectados, quién resultó afectado y aproximadamente cuántos registros
• Nombre y datos de contacto de tu Delegado de Protección de Datos o la persona responsable
• Consecuencias probables de la brecha: qué daños podrían producirse para los afectados
• Medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos

Las acciones inmediatas

Primera hora: Contener Detén la hemorragia antes de contar la herida. Revoca las credenciales de acceso comprometidas. Desconecta los sistemas afectados si es necesario. Asegura o recupera los datos expuestos donde sea posible. Documenta cada acción tomada desde este momento.

Horas 1–12: Evaluar Identifica qué datos se vieron afectados y a quién pertenecen. Determina si la brecha está en curso o contenida. Establece la causa probable. Asigna un responsable del incidente. Comienza el registro documentado de tu respuesta.

Horas 12–48: Decidir Evalúa el riesgo. Toma una decisión documentada sobre si es necesaria la notificación y a qué nivel. Si es necesaria, comienza a redactar.

Horas 48–72: Notificar Presenta la notificación a tu autoridad de supervisión. Si los afectados corren un alto riesgo, notifícales directamente con una comunicación clara explicando qué ocurrió, qué datos estaban implicados, qué medidas has adoptado y qué deben hacer.

El registro de brechas

El RGPD y la mayoría de leyes equivalentes exigen que mantengas un registro interno de todas las brechas, incluidas las que no alcanzan el umbral de notificación. Este registro debe incluir: la fecha y naturaleza de la brecha, sus efectos y las acciones correctoras adoptadas.

El registro de brechas sirve para dos propósitos. Primero, te proporciona la base documentada para las decisiones de no notificar. Segundo, ofrece a los auditores y autoridades de supervisión un registro de tu capacidad de gestión de incidentes a lo largo del tiempo.

Lo que busca la autoridad de supervisión

Cuando se notifica una brecha, la autoridad evalúa dos cosas: la brecha en sí y tu respuesta a ella. Las organizaciones que responden bien — conteniendo rápidamente, notificando con prontitud, comunicando claramente con los afectados y demostrando que la brecha no fue causada por un fallo sistémico — reciben sistemáticamente sanciones menores.

El peor resultado no es una brecha. Es una brecha descubierta por el regulador a través de una reclamación del interesado, semanas después de que ocurriera, sin notificación, sin registro de brechas y sin evidencia de ninguna respuesta.