BRECHA DE SEGURIDAD

Cómo responder de manera eficaz y segura ante una brecha de seguridad en tu PYME

Las brechas de seguridad constituyen uno de los principales motivos de sanción por parte de la Agencia Española de Protección de Datos (AEPD). De acuerdo con la Memoria Anual de 2024 de la AEPD, publicada en mayo de 2025, durante el pasado ejercicio se incoaron 30 procedimientos sancionadores o de apercibimiento relacionados con este tipo de incidentes, con multas que alcanzaron los 13,18 millones de euros, lo que representa el 37 % del total recaudado.

Para las pequeñas y medianas empresas, estas cifras ponen de manifiesto un riesgo significativo: el 70 % de las sanciones impuestas en 2024 afectaron a PYMEs y trabajadores autónomos. A ello se suma que el impacto económico medio de un ciberataque en una pequeña empresa —incluyendo la recuperación de sistemas, la interrupción de la actividad y el daño reputacional— se sitúa en torno a los 75.000 euros.

 

¿Qué se entiende por brecha de seguridad?

El Reglamento General de Protección de Datos (RGPD) define la brecha de seguridad como cualquier incidente que implique una violación de la seguridad de los datos personales y que provoque su destrucción, pérdida, modificación —accidental o ilícita—, así como el acceso o la comunicación no autorizados de dichos datos.

No cualquier incidencia técnica constituye una brecha. Para que sea considerada como tal, debe verse comprometida la confidencialidad, integridad o disponibilidad de los datos personales, de forma que puedan resultar afectados los derechos y libertades de las personas.

Este tipo de incidentes puede originarse tanto por causas accidentales como intencionadas, entre ellas errores humanos, extravío de dispositivos, ataques de ransomware o accesos indebidos a los sistemas.

sujeto-pasivo

Contáctanos para más información

Acepte la política de privacidad

15 + 8 =

¿Cómo debe actuar una empresa ante una brecha de seguridad?

El principio de responsabilidad proactiva obliga a las organizaciones a adoptar con antelación medidas técnicas y organizativas adecuadas, y a poder demostrar su aplicación. Esto incluye disponer de políticas de seguridad, formación del personal y procedimientos definidos. Cuando se detecta una brecha, la reacción debe ser inmediata: contener el incidente, analizar su alcance y dejar constancia documentada de todo el proceso. Una gestión adecuada busca solucionar el problema, reducir sus efectos y prevenir incidentes futuros.

Ante la detección de una brecha, se recomienda seguir los siguientes pasos:

  • Documentar el incidente: registrar la fecha y hora, la naturaleza del suceso y el alcance de los datos comprometidos.
  • Contener la brecha: aislar los sistemas afectados, desconectar equipos comprometidos o restaurar la información a partir de copias de seguridad.
  • Registrar el incidente en el libro de incidencias: es obligatorio mantener un registro interno de todas las brechas, incluyendo la información relevante y las medidas adoptadas. La AEPD puede requerir este registro en cualquier momento como prueba de diligencia.
  • Evaluar el riesgo: analizar si el incidente puede afectar a los derechos y libertades de las personas, dejando constancia de la evaluación. Para ello se deben tener en cuenta, entre otros aspectos:
    • El tipo y volumen de los datos afectados.
    • El número de personas implicadas y su grado de identificabilidad.
    • Los posibles perjuicios para los interesados.

Notificación a la AEPD

Si del análisis se concluye que existe un riesgo para los derechos y libertades de las personas, el responsable del tratamiento debe notificar la brecha a la AEPD en un plazo máximo de 72 horas desde que tuvo conocimiento del incidente. La notificación debe realizarse mediante el formulario habilitado en la Sede Electrónica de la Agencia.

Dicha comunicación debe incluir, como mínimo:

  • Una descripción del incidente y el tipo de datos afectados.
  • El número aproximado de personas y registros comprometidos.
  • Las posibles consecuencias derivadas de la brecha.
  • Las medidas adoptadas o previstas.
  • Los datos de contacto del Delegado de Protección de Datos, si lo hubiera, o de la persona responsable.

El incumplimiento del plazo de 72 horas puede suponer un agravamiento de la sanción.

Comunicación a las personas afectadas

Cuando la brecha suponga un alto riesgo para los derechos de los interesados, la empresa deberá informarles sin dilaciones indebidas, utilizando un lenguaje claro y comprensible. Esta comunicación debe detallar:

  • La naturaleza del incidente.
  • Los riesgos previsibles para la persona afectada.
  • Las medidas adoptadas por la organización.
  • Recomendaciones prácticas, como el cambio de contraseñas.
  • Un canal de contacto para resolver dudas o solicitar información adicional.

Las brechas de seguridad no son un problema exclusivo de las grandes compañías. Cada vez más PYMEs y autónomos se enfrentan a procedimientos sancionadores por no gestionar estos incidentes con la diligencia exigida.

Disponer de un plan de respuesta, protocolos definidos y medidas de seguridad adecuadas no solo minimiza el impacto de una brecha, sino que puede marcar la diferencia entre recibir un simple apercibimiento o afrontar una sanción económica relevante.

¿Necesita asesoramiento? Consulte nuestras áreas relacionadas con la gestión de brechas de seguridad.

¿Necesita asesoramiento?

Consulte nuestras áreas relacionadas con la gestión de brechas de seguridad.

PIDANOS PRESUPUESTOS SIN COMPROMISO

Panel
Cookies