INTELIGENCIA REGULATORIA · ES + UESuperLawyer.
Edición continua
Normativa · Doctrina · Jurisprudencia
Protección de datos · RGPD

Notificar una brecha de seguridad a la AEPD: la guía de las 72 horas

El plazo de 72 horas del RGPD es de los más temidos y peor entendidos. Cuándo empieza el reloj, qué debe llevar la notificación, cuándo avisar a los afectados y qué dice la AEPD cuando alguien no lo hace.

Redacción SuperLawyer 3 de junio de 2026 Lectura · 9 min Fuentes: RGPD · AEPD

Sufres un incidente —un correo enviado a quien no debía, un portátil perdido, un ransomware— y de repente todo el mundo repite la misma frase: «tienes 72 horas». Pero 72 horas, ¿desde cuándo? ¿para qué exactamente? ¿y siempre? La respuesta está en dos artículos del Reglamento General de Protección de Datos, el 33 y el 34, y conviene leerlos con calma antes de que suene la alarma.

Qué es —y qué no— una brecha de seguridad.

El RGPD (art. 4.12) define la «violación de la seguridad de los datos personales» como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. Tres ideas importan aquí:

  • No hace falta que haya un hacker. Un correo con copia abierta (CC en lugar de CCO), una carta enviada a la dirección equivocada o el borrado accidental de una base de datos sin copia son brechas.
  • Confidencialidad, integridad o disponibilidad. Que alguien acceda a los datos, que se alteren o que dejes de poder acceder a ellos (un cifrado por ransomware) son los tres sabores clásicos.
  • El riesgo es el que manda. No toda brecha se notifica; lo que decide es el riesgo para las personas, como veremos enseguida.

El reloj de las 72 horas (art. 33 RGPD).

La obligación de notificar a la autoridad de control —en España, la AEPD— está en el artículo 33. El detalle que más errores provoca es cuándo arranca el plazo: no desde que ocurre el incidente, sino desde que el responsable tiene constancia de él.

Texto literal

«En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente […] sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación […] no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.»

Art. 33.1 — Reglamento (UE) 2016/679 (RGPD). Ver en EUR-Lex →

De aquí salen tres consecuencias prácticas:

  • «Sin dilación indebida» pesa tanto como «72 horas». El plazo es un techo, no un derecho a esperar tres días. Si puedes notificar antes, debes.
  • Si te pasas, explica por qué. Notificar tarde no es el fin del mundo si acompañas la notificación con los motivos del retraso. Lo que no se perdona es el silencio.
  • La excepción existe, pero es estrecha. Solo si es improbable que la brecha suponga un riesgo para las personas puedes no notificar. La carga de justificar ese juicio recae en ti.

Si eres encargado del tratamiento (un proveedor que trata datos por cuenta de otro), tu obligación es distinta: notificar al responsable sin dilación indebida en cuanto tengas conocimiento (art. 33.2). El reloj de las 72 horas frente a la AEPD lo cuenta el responsable.

Qué debe contener la notificación.

El art. 33.3 fija un contenido mínimo. Aunque al principio no tengas todos los datos, puedes notificar de forma escalonada (art. 33.4): primero lo que sepas, y vas completando.

Contenido mínimo

La notificación deberá, como mínimo: (a) describir la naturaleza de la brecha, con las categorías y el número aproximado de interesados y de registros afectados; (b) comunicar los datos de contacto del delegado de protección de datos o punto de contacto; (c) describir las posibles consecuencias; y (d) describir las medidas adoptadas o propuestas para ponerle remedio y mitigar los efectos negativos.

Art. 33.3 — RGPD. Ver en EUR-Lex →

En la práctica, la AEPD pone a disposición un formulario electrónico de notificación de brechas en su sede. Lo relevante para el plazo es que basta con iniciar la notificación dentro de las 72 horas, aunque luego se amplíe.

¿Hay que avisar también a los afectados?.

Aquí entra el artículo 34, que mucha gente confunde con el 33. Notificar a la AEPD y comunicar a las personas afectadas son dos obligaciones distintas con umbrales distintos.

Comunicación al interesado

«Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.»

Art. 34.1 — RGPD. Ver en EUR-Lex →

El umbral sube de «riesgo» (para avisar a la AEPD) a «alto riesgo» (para avisar a las personas). Y el propio art. 34.3 enumera cuándo no hace falta comunicar a los afectados:

  • Si los datos estaban protegidos con medidas que los hacen ininteligibles a terceros —el ejemplo de manual es el cifrado.
  • Si después has tomado medidas que eliminan ese alto riesgo.
  • Si avisar uno a uno supone un esfuerzo desproporcionado; entonces se hace una comunicación pública o equivalente.

Documentar, siempre.

Aunque decidas —con buen criterio— que una brecha no hay que notificarla, no puedes limitarte a olvidarla. El art. 33.5 obliga a llevar un registro interno de brechas: los hechos, sus efectos y las medidas correctivas. Ese registro es lo primero que pedirá la AEPD si más adelante hay una reclamación, y es la prueba de que tu decisión de no notificar fue razonada.

Qué pasa cuando no se hace bien: casos reales.

La teoría es clara; lo instructivo son las resoluciones. En el corpus de SuperLawyer figuran más de 800 resoluciones de la AEPD clasificadas en materia de brecha de seguridad. Algunos ejemplos verificables:

Resoluciones reales de la AEPD relacionadas con seguridad / brechas
CasoQué pasóResultado
CaixaBank
PS/00143/2023		Facilitó sin consentimiento información de una clienta a su exmarido; se aprecian fallos de los arts. 32, 33 y 34.Multa de 70.000 €
Stratesys
PS/00312/2025		Notificó una brecha tras un ciberataque que afectó a la confidencialidad de la información (art. 32).60.000 € con terminación por pago voluntario y reconocimiento
D.G. de Ganadería (Cantabria)
PS/00239/2025		Brecha que afectó a 136.058 personas; se valoran los arts. 32 y 5.1.Terminación con requerimiento de medidas en 6 meses

El patrón se repite: lo que la AEPD reprocha rara vez es «haber sufrido un ataque» —eso le puede pasar a cualquiera— sino no haber tenido medidas de seguridad proporcionadas (art. 32) o no haber gestionado la brecha (arts. 33 y 34). La buena noticia, visible en los casos de terminación, es que reconocer el incidente, pagar y acreditar medidas correctoras reduce de forma sustancial la exposición.

Regla práctica

Ante la duda, notifica y documenta. Una notificación de más rara vez genera problemas; una de menos, fuera de plazo o sin registro, es exactamente lo que la AEPD penaliza.

Checklist de las primeras 72 horas.

  1. Contén el incidente y deja constancia de la hora en que tuviste constancia (ahí arranca el plazo).
  2. Evalúa el riesgo para las personas: ¿es improbable? Documenta el porqué. ¿Es probable? Prepara la notificación a la AEPD.
  3. Notifica a la AEPD dentro de las 72 horas con el contenido del art. 33.3, aunque sea de forma escalonada.
  4. Valora el alto riesgo: si lo hay, comunica a los afectados (art. 34) salvo que aplique una excepción.
  5. Registra todo en el registro interno de brechas (art. 33.5) y revisa las medidas técnicas para que no se repita.
Cómo encaja SuperLawyer

Cada artículo de este texto sale de la fuente, no de la memoria del modelo.

SuperLawyer conecta tu asistente de IA con el texto consolidado del RGPD y con más de 40.000 resoluciones reales de la AEPD. Pídele que valore una brecha y te citará el artículo exacto y resoluciones verificables —con su referencia— en vez de inventárselas. Ese es justo el riesgo que evita.

Solicitar acceso →

Preguntas frecuentes.

¿Desde cuándo se cuentan las 72 horas?

Desde que el responsable del tratamiento tiene constancia de la brecha, no desde que ocurrió. El art. 33.1 del RGPD exige notificarla a la autoridad de control sin dilación indebida y, de ser posible, a más tardar 72 horas después de tener constancia de ella.

¿Siempre hay que notificar una brecha a la AEPD?

No. El art. 33.1 exime de notificar cuando sea improbable que la violación constituya un riesgo para los derechos y libertades de las personas. Aun así, toda brecha debe documentarse internamente (art. 33.5).

¿Cuándo hay que avisar también a los afectados?

Cuando sea probable que la brecha entrañe un alto riesgo (art. 34). Hay excepciones: datos cifrados, medidas que eliminen el riesgo, o esfuerzo desproporcionado (en cuyo caso cabe una comunicación pública).

¿Qué pasa si no notifico en plazo?

La falta de notificación, o la ausencia de medidas de seguridad adecuadas (art. 32), puede acabar en sanción. La AEPD ha resuelto cientos de procedimientos por brechas; las multas parten de decenas de miles de euros.

Sigue leyendo
Protección de datos¿Cuánto multa la AEPD? Lo que dicen 40.000 resoluciones reales Regulación financieraDORA: qué entidades obliga, desde cuándo y qué tienen que hacer

Este artículo tiene finalidad divulgativa y no constituye asesoramiento jurídico. La normativa puede cambiar; verifica siempre la versión vigente en la fuente oficial enlazada.