La Agencia Española de Protección de Datos ha publicado una opinión sobre la obligación de notificar brechas de datos personales, poniendo de manifiesto que la cuestión relevante no es si la quiebra de seguridad debe notificarse sin dilación indebida, sino cómo debe gestionar el responsable de manera diligentemente esa obligación. Esta opinión se ha emitido debido al notable incremento de notificaciones recibidas por la autoridad de control durante el ejercicio 2025 (más de 2.700 notificaciones), que pone de relieve la creciente preocupación de las entidades en esta materia. En este sentido, se hace constar que se han notificado brechas de seguridad a más de 200 millones de afectados.
Frente al temor empresarial de que la notificación de una brecha de seguridad a la AEPD o a los afectados pueda conllevar, automáticamente, la imposición de una sanción, la autoridad de control ha aclarado que la realidad práctica es distinta. Ello es así, por cuanto de las miles de notificaciones recibidas, únicamente un porcentaje muy reducido (aproximadamente un 2,5 %) ha sido trasladado al área de inspección para valorar la posibilidad de iniciar un procedimiento sancionador.
En consecuencia, la notificación per se no conlleva automáticamente una sanción, sino que supone una prueba del cumplimiento proactivo de las obligaciones establecidas en el RGPD en materia de responsabilidad proactiva (accountability).
Puede acceder a la publicación de la autoridad de control aquí.
