Plan de respuesta de 72 horas contra la vulneración de datos del RGPD: A…

Q: When does the 72-hour clock start?

When your organisation becomes aware of the breach — not when IT confirms it, not when legal reviews it, not when the DPO is informed. If a front-line staff member discovers the breach on Friday evening, the clock starts Friday evening. This is why internal reporting procedures must be fast and clear.

Q: Do I have to notify if only a small amount of data was affected?

The notification obligation depends on risk level, not data volume. A small breach exposing health records or financial credentials may require notification. A large breach of already-public data may not. Conduct a proper risk assessment for every breach regardless of size.

Q: What happens if we miss the 72-hour deadline?

Supervisory authorities take late notifications seriously. Penalties can be significant. However, demonstrating a good-faith effort, a credible explanation for the delay, and strong remediation measures can mitigate penalties. Late notification is always better than no notification.

Q: Must we notify individuals for every breach?

No. Individual notification under Article 34 is required only when the breach is 'likely to result in high risk' to individuals. This is a higher bar than the supervisory authority notification threshold. But err on the side of notifying — failing to notify individuals when required can result in larger fines.

Q: How does HubSecure help with GDPR breach response?

HubSecure provides encrypted secure data storage, access logging, and permission controls that reduce breach risk. For firms managing client data, HubSecure's audit trail means you can quickly determine exactly what data was accessed and by whom — critical for the 72-hour assessment.

Resumen

Setenta y dos horas suena como un largo tiempo hasta que estés en medio de una brecha. Este plan paso a paso ayuda a los equipos de cumplimiento y seguridad a cumplir el plazo de notificación del RGPD sin pánico.

Lo que el flujo de trabajo de cumplimiento necesita probar.
Que controles y compradores de pruebas deben comprobar.
Cómo HubSecure encaja sin reemplazar el consejo legal.

Escrito porHubSecure Equipo editorial

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado porHubSecure Security & Compliance Review

Examinado para el posicionamiento de la seguridad, la exactitud del flujo de trabajo y la claridad de la aplicación.

Última actualizaciónMay 7, 2026

Comprobado contra el sitio de marketing HubSecure y posicionamiento de productos.

TL;DR

RGPD Artículo 33: notificar a su autoridad supervisora dentro de las 72 horas de ser consciente de una violación
Artículo 34: notificar a las personas afectadas sin demora indebida si la violación es de alto riesgo
El reloj comienza cuando cualquier parte de su organización se vuelve consciente, no sólo IT o legal
La notificación se puede hacer en etapas — notificación inicial dentro de 72h, detalles a seguir

Una brecha de datos personales bajo GDPR no se limita a la piratería. Incluye cualquier destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Un correo electrónico enviado al destinatario equivocado, un portátil perdido, una hoja de cálculo publicada accidentalmente — todo puede desencadenar obligaciones de notificación de incumplimiento.

La ventana de 72 horas es uno de los requisitos más exigentes en el GDPR. Aquí hay un plan de respuesta probado.

Relacionados HubSecure

CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo

Recursos relacionados con seguridad, privacidad y gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de Guías de consolidación de herramientas y alternativas de espacios de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.

Hour 0–4: Contain and assess

Activate your incident response team — DPO, IT security, legal, communications lead
Contain the breach — revoke access, isolate systems, recover lost devices, stop the leak
Preserve evidence — log files, email headers, access records. Do not destroy anything
Document everything — time of discovery, who identified it, what actions were taken when
Assess scope — what data was affected? How many individuals? What categories (health, financial, criminal)?

Hour 4–24: Risk assessment

Determine whether the breach is “likely to result in a risk to the rights and freedoms of natural persons.” Most breaches clear this bar and therefore require supervisory authority notification. Only low-risk breaches (e.g., encrypted data with no known decryption risk) are exempt.

Assess separately whether the breach is “likely to result in high risk” which triggers direct notification to affected individuals under Article 34. High-risk indicators include:

Datos de categoría especial expuestos (salud, biometría, antecedentes penales, religión)
Datos financieros que permitan el fraude o el robo de identidad
Gran número de personas afectadas
Población vulnerable (niños, pacientes) entre los afectados
Datos en manos de un actor malicioso en lugar de revelar accidentalmente

Hour 24–48: Draft notification

Article 33 requires your notification to include:

Naturaleza de la brecha (categorías y número aproximado de individuos y registros afectados)
Nombre y datos de contacto de su DPO u otro punto de contacto
Consecuencias de la violación
Medidas adoptadas o propuestas para hacer frente a la violación, incluida la mitigación

Se permite la notificación gradual: Si usted no puede proporcionar todos los detalles dentro de 72 horas, envíe lo que usted sabe y bandera que más información seguirá. La notificación incompleta a tiempo es mejor que una notificación completa después del plazo.

Hour 48–72: Submit and notify individuals

Presentar a la autoridad supervisora a través de su portal en línea (por ejemplo, Datatilsynet en Noruega, ICO en Reino Unido, CNIL en Francia)
Si el alto riesgo: notificar a las personas afectadas en lenguaje claro explicando lo que sucedió, qué datos se vieron afectados, probables consecuencias, y las medidas que deben adoptar
Document the submission including reference number and confirmation

Después de 72 h: documentar y corregir

Maintain a full breach register (Article 33(5) requires documentation of all breachs regardless of whether notification was required)
Análisis de la causa raíz
Implementar medidas preventivas y probarlas
Actualizar su plan de respuesta a incidentes basado en las lecciones aprendidas
Notificar a su autoridad supervisora de actualizaciones de la notificación inicial

Preguntas frecuentes

When does the 72-hour clock start?

Cuando su organización se hace consciente de la violación — no cuando la IT lo confirma, no cuando la revisa legal, no cuando se informa al DPO. Si un funcionario de primera línea descubre la brecha el viernes por la noche, el reloj comienza el viernes por la noche. Por ello, los procedimientos internos de presentación de informes deben ser rápidos y claros.

Do I have to notify if only a small amount of data was affected?

La obligación de notificación depende del nivel de riesgo, no del volumen de datos. Una pequeña violación que exponga registros de salud o credenciales financieras puede requerir notificación. Una gran violación de los datos ya públicos puede no ser. Realizar una evaluación adecuada del riesgo para cada incumplimiento independientemente del tamaño.

What happens if we miss the 72-hour deadline?

Las autoridades supervisoras toman en serio las notificaciones tardías. Las sanciones pueden ser importantes. Sin embargo, demostrar un esfuerzo de buena fe, una explicación creíble para el retraso y medidas firmes de rehabilitación pueden mitigar las penas. La notificación tardía es siempre mejor que ninguna notificación.

Must we notify individuals for every breach?

No. La notificación individual prevista en el artículo 34 sólo se requiere cuando la violación sea "sólo para dar lugar a un alto riesgo" a las personas. Esta es una barra más alta que el umbral de notificación de autoridad supervisora. Pero errar por el lado de notificar — no notificar a las personas cuando sea necesario puede resultar en multas mayores.

What is a data breach register?

GDPR Article 33(5) requires all organisations to maintain documentation of every personal data breach — even those that did not require supervisory authority notification. Este registro debe incluir: los hechos, los efectos y las medidas correctivas adoptadas. Los reguladores inspeccionan los registros de incumplimiento durante las auditorías.

How does HubSecure help with GDPR breach response?

HubSecure proporciona almacenamiento seguro cifrado de datos, registro de acceso y controles de permiso que reducen el riesgo de incumplimiento. Para las empresas que gestionan los datos del cliente, la ruta de auditoría de HubSecure significa que puede determinar rápidamente qué datos se accedieron y por quién, crítico para la evaluación de 72 horas.

Ver HubSecure en acción

HubSecure 's audit trail, B01 y logging de incidentes le ayudan a cumplir con la ventana de notificación de 72 horas y probarla a su regulador.

Reserva una demostración → Explorar B01 →

Véase también: HubSecure DPA & EU SCCs · Resumen de seguridad

Fuentes oficiales y lectura ulterior

Utilice estas fuentes públicas para verificar el fondo regulatorio y la terminología. HubSecure El contenido es la orientación del producto, no el asesoramiento legal.

Notas de credibilidad

Esta guía está escrita para la evaluación de productos y operaciones, no como asesoramiento legal. Para las obligaciones de cumplimiento, confirme los requisitos con un abogado calificado o el regulador pertinente.

Relacionados HubSecure referencias: Seguridad · DPA · Subprocesadores · Glosario AML/KYC · Glosario RBAC

Revisión de los equipos regulados

Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.

Autores · Revisores · Política editorial

Resumen

Respuesta de los datos del GDPR: su plan de acción de 72 horas

Relacionados HubSecure

Recursos relacionados con seguridad, privacidad y gobernanza

Caso de uso relacionado

Hour 0–4: Contain and assess

Hour 4–24: Risk assessment

Hour 24–48: Draft notification

Hour 48–72: Submit and notify individuals

Después de 72 h: documentar y corregir

Preguntas frecuentes

Ver HubSecure en acción

Fuentes oficiales y lectura ulterior

Notas de credibilidad

Revisión de los equipos regulados

Continuar la evaluación del flujo de trabajo

Revisión editorial y de cumplimiento

Páginas de origen de la verdad para este tema

Continuar la ruta de evaluación

Fuentes para verificar el contexto de cumplimiento

Resumen

Respuesta de los datos del GDPR: su plan de acción de 72 horas

Relacionados HubSecure

Recursos relacionados con seguridad, privacidad y gobernanza

Caso de uso relacionado

Hour 0–4: Contain and assess

Hour 4–24: Risk assessment

Hour 24–48: Draft notification

Hour 48–72: Submit and notify individuals

Después de 72 h: documentar y corregir

Preguntas frecuentes

Ver HubSecure en acción

Fuentes oficiales y lectura ulterior

Notas de credibilidad

Revisión de los equipos regulados

Artículos relacionados

Continuar la evaluación del flujo de trabajo

Revisión editorial y de cumplimiento

Páginas de origen de la verdad para este tema

Continuar la ruta de evaluación

Fuentes para verificar el contexto de cumplimiento