Brecha de Seguridad

El RGPD (arts. 33-34) define brecha de seguridad como cualquier violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados; o la comunicación o acceso no autorizado a esos datos. Ejemplos típicos en un club: USB con base de datos de socios extraviado, email con datos enviado a la persona equivocada, hackeo de la web del club, robo de un portátil con datos sin cifrar, fuga accidental por una URL pública.

Obligaciones del responsable: 1) registrar la brecha en un log interno, 2) evaluar el riesgo para los derechos y libertades de las personas, 3) si hay riesgo, notificar a la AEPD en 72 horas desde que se tiene conocimiento, 4) si el riesgo es alto, notificar a los afectados sin dilación.

En cuanto se tiene conocimiento del incidente — incluso aunque se haya logrado contener. La notificación a la AEPD puede hacerse online a través de la sede electrónica. Si no es posible evaluar todo en 72 h, se notifica una primera información parcial y se completa después. No notificar cuando había obligación es sanción típica de la AEPD.

• No notificar 'por miedo a sanción': la AEPD sanciona la no-notificación más que la propia brecha bien gestionada.
• Esperar a 'estar seguros' antes de notificar: si en 72 h no tienes toda la información, notifica parcial.
• No informar a los afectados cuando procede: el RGPD lo exige cuando hay alto riesgo.
• No registrar brechas que no se notifican: incluso las brechas sin riesgo se registran internamente.

Si te interesa este término, probablemente también tengas dudas con estos:

• RGPD

  Legal

• LOPDGDD

  Legal

• Delegado de Protección de Datos (DPO)

  Legal

• Registro de Actividades de Tratamiento (RAT)

  Legal

Guías largas y páginas de producto donde tratamos este tema en profundidad:

• RGPD para clubes deportivos — Guía completa 2026

  Guía completa