El cierre de 2025 nos deja una cifra contundente: la Agencia Española de Protección de Datos (AEPD) recibió más de 2.700 notificaciones de brechas de seguridad. Esta tendencia alcista confirma que la ciberseguridad ya no es una opción, sino una prioridad de supervivencia empresarial.
El deber de informar: Más allá del cumplimiento
Ante un incidente grave, el marco legal establece tres vías de actuación obligatorias que no deben confundirse:
- A los CERT de referencia: Por normativa de ciberseguridad.
- A la AEPD: Siempre que exista una afectación de datos personales.
- A las Fuerzas y Cuerpos de Seguridad: Cuando haya indicios de delito.
La tendencia regulatoria es clara: se busca fomentar el intercambio de información. Con la futura propuesta europea Digital Omnibus, el debate interno sobre «si contar o no» el incidente perderá sentido, ya que la interconexión entre organismos hará que la brecha trascienda públicamente más pronto que tarde.
Los plazos: El error de esperar al límite
Un error común es agotar el plazo máximo legal (que oscila entre las 24 y 72 horas). La normativa exige comunicar «sin dilación indebida». Esperar al último minuto puede interpretarse como falta de diligencia.
Nota importante: La nueva propuesta Digital Omnibus prevé ampliar el margen técnico hasta las 96 horas, pero la rapidez sigue siendo el factor crítico para mitigar riesgos como el fraude o la suplantación de identidad, especialmente en un entorno dominado por la IA.
El mito de la «notificación-sanción»
Muchas empresas temen que notificar una brecha a la AEPD sea sinónimo de multa. Los datos de 2025 desmienten este temor:
- Alcance: Se notificaron brechas que afectaron a más de 200 millones de personas.
- Inspecciones: Solo el 2,5% de los casos (apenas 11 notificaciones) se derivaron a la Subdirección General de Inspección.
¿Cuándo hay riesgo real de sanción? Las resoluciones demuestran que la Agencia no sanciona por el hecho de sufrir un ataque, sino por la mala gestión de la brecha o por demostrar una falta flagrante de medidas de seguridad previas.
Hacia la Ventanilla Única
Para simplificar este proceso, se está trabajando en una ventanilla única a nivel europeo y estatal. El objetivo es que las empresas reporten el incidente una sola vez y sea el sistema quien lo distribuya a las autoridades competentes de forma ordenada.
La notificación como escudo
La gestión de una crisis de datos debe basarse en dos pilares:
- Responsabilidad Proactiva (Art. 5.2 RGPD): Notificar en tiempo y forma es la mejor prueba de diligencia ante una posible reclamación de terceros.
- Responsabilidad Social: Informar a los afectados no solo cumple la ley, sino que protege la reputación de la empresa al evitar perjuicios mayores a la ciudadanía.
Perder el miedo a notificar es, en definitiva, ganar en madurez digital.
