Reducción por reserva de capitalización
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

Cómo actuar ante una brecha de seguridad en tu PYME de forma eficaz y segura

← Volver al blog
5/5 - (2 votos)
Devesa Abogados > Blog
PATRICIA CARRERA SÁNCHEZ
Patricia Carrera
Letrada Asociada Senior

La brecha de seguridad es uno de los principales focos de sanción de la Agencia Española de Protección de Datos (“AEPD”). Según la Memoria de Anual de 2024 de la AEPD publicada en mayo de 2025, el año pasado la Agencia abrió 30 procedimientos sancionadores o de apercibimiento vinculados a brechas con multas que sumaron 13,18 millones de euros (el 37 % del total),

Para las pequeñas empresas, estas cifras reflejan un riesgo ya que el 70 % de las sanciones impuestas en 2024 recayeron en PYMEs y autónomos. Más allá de las multas, el coste medio de un ciberataque para una PYME (entre recuperación de sistemas, paralización del negocio y daño reputacional) se estima en unos 75.000 euros.

¿Qué es una brecha de seguridad?

    El Reglamento General de Protección de Datos (“RGPD”)  define la brecha de seguridad como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” 

    No basta con un simple fallo técnico: para considerarse brecha debe comprometerse la confidencialidad, integridad o disponibilidad de los datos personales, de modo que puedan verse afectados los derechos y libertades de las personas.

    Las brechas pueden surgir por causas accidentales o malintencionadas, como errores humanos, pérdidas de dispositivos, ataques de ransomware o accesos no autorizados.

    ¿Cómo actuar ante una brecha de seguridad?

    El principio de responsabilidad proactiva exige que la empresa adopte medidas técnicas y organizativas adecuadas antes de que ocurra cualquier incidente y que pueda demostrarlo. Esto incluye implementar políticas de seguridad, formación del personal y protocolos claros. Una vez se detecta una brecha, la empresa debe reaccionar inmediatamente para contenerla, evaluar su alcance y documentar todo el proceso. Una buena gestión de la brecha busca resolver el incidente, minimizar daños y evitar repeticiones futuras.

    Al producirse una brecha, los pasos recomendados son:

    • Documentar el incidente. Anotar la fecha y hora del suceso, su naturaleza (qué ocurrió) y el alcance de los datos afectados.
    • Contener la brecha. Aislar los sistemas comprometidos (p.ej. desconectar equipos infectados) o restaurar datos desde copias de seguridad.
    • Registrar la brecha  en el libro de incidencias. Se debe mantener un registro interno de todas las brechas, con la información relevante sobre el incidente y las medidas. Este registro es obligatorio y la AEPD puede solicitarlo en cualquier momento como prueba de diligencia.
    • Evaluar el riesgo: analizar si la brecha compromete derechos y libertades de las personas y documentar la evaluación, considerando:
      • Tipo y volumen de datos afectados
      • Número de personas afectadas y su nivel de identificabilidad
      • Potenciales daños a los derechos  y libertades de los interesados.

    Notificación a la AEPD

    Si de dicha evaluación resulta que existe un riesgo  para los derechos y libertades de las personas, el responsable del tratamiento debe notificarla a la AEPD en un plazo máximo de 72 horas desde que tuvo conocimiento del incidente. La notificación se realiza a través del formulario oficial de la Sede Electrónica de la AEPD.

    La notificación debe contener al menos:

    • Descripción del incidente y categoría de datos afectados.
    • Número estimado de afectados y registros comprometidos.
    • Consecuencias potenciales.
    • Medidas adoptadas.
    • Datos de contacto del Delegado de Protección de Datos (si existe) o persona responsable.

    El incumplimiento del plazo de 72 horas puede agravar la posible sanción.

    Comunicación a los afectados

    Cuando la brecha entraña un alto riesgo para los derechos de las personas, el responsable debe además informar sin demora indebida a los interesados afectados. usando un lenguaje claro y sencillo. La comunicación debe incluir:

    • Qué ha ocurrido (naturaleza de la brecha).
    • Riesgos previsibles para la persona afectada.
    • Medidas adoptadas por la empresa.
    • Recomendaciones prácticas (por ejemplo, cambiar contraseñas).
    • Datos de contacto para resolver dudas.

    Las brechas de seguridad no son solo cosa de grandes empresas: cada vez más pequeñas empresas y autónomos están siendo objeto de procedimientos sancionadores por no actuar con la debida diligencia

    Contar con un plan de respuesta, protocolos claros, y medidas adecuadas no solo reduce el impacto en caso de incidente, sino que puede ser la diferencia entre una simple advertencia y una sanción económica.

    ¿Necesita asesoramiento? Acceda a nuestras áreas relacionadas con la brecha de seguridad:

    Protección de Datos

    Derecho Societario

    5/5 - (2 votos)
    Contacta / Contact us