🔍 Uno de los puntos más delicados en la gestión de brechas de seguridad es cuándo comienza el cómputo del plazo de 72 horas para notificarlas a la autoridad de control. Más allá de si se trata de días hábiles o naturales —tema que depende de la normativa aplicable—, la clave está en cuándo se considera que el responsable «tiene constancia» de la brecha.
📚 Base legal:
El artículo 33.1 del RGPD establece que el responsable del tratamiento deberá notificar la brecha “sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella”.
El considerando 85 añade que se debe notificar “tan pronto como el responsable tenga conocimiento suficiente para establecer que ha ocurrido una brecha de seguridad que entraña un riesgo para los derechos y libertades”.
📌 El GT29 (hoy EDPB), en sus directrices sobre notificación de brechas, y posteriormente la AEPD en su Guía de Gestión de Brechas, interpretan que:
➡️ Durante el periodo de investigación, no puede considerarse que el responsable tenga conocimiento efectivo de la brecha.
➡️ Da igual si el incidente lo detecta un tercero, un medio de comunicación o el propio responsable: hasta que no hay un conocimiento claro del hecho, no comienza el cómputo.
➡️ Si hay encargados del tratamiento, el responsable tendrá constancia cuando el encargado le comunique formalmente la brecha. Esta comunicación debe hacerse sin dilación, según el artículo 33.2 RGPD y el artículo 43.4 de la LOPDGDD.
🧩 La clave está en el concepto de «conocimiento suficiente», que no exige certeza absoluta, pero sí una base razonada para concluir que ha ocurrido un incidente que encaja en la definición de brecha de seguridad conforme al artículo 4.12 RGPD.
⚖️ Esta interpretación no solo es coherente con la lógica del RGPD, sino que protege al responsable de notificarse antes de tener datos sólidos, sin dejar de imponerle la obligación de actuar con diligencia y documentar todo conforme al principio de responsabilidad proactiva (art. 5.2 RGPD).
¿Te habías planteado este matiz legal?
💬 Te leo en comentarios.
🔁 Comparte si crees que muchas organizaciones siguen notificando o actuando… antes de tiempo (o demasiado tarde).
