AEPD Compliance
Conjunto de obligaciones legales relacionadas con la Agencia Española de Protección de Datos, incluyendo notificación de brechas de seguridad en 72 horas y comunicación a afectados.
¿Qué es AEPD Compliance?
AEPD Compliance se refiere al cumplimiento de las obligaciones establecidas por la normativa de protección de datos en España, especialmente en lo relativo a la gestión de brechas de seguridad. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control que supervisa el cumplimiento del RGPD y la LOPDGDD en España.
En mi trabajo como perito informático forense, el cumplimiento con la AEPD es una dimensión crítica de cualquier investigación de ciberincidentes. Cuando hay datos personales afectados, la empresa tiene obligaciones legales que cumplir en plazos muy ajustados, y el informe forense es pieza clave para la notificación.
Plazo Crítico: 72 Horas
Desde el momento en que tienes conocimiento de una brecha que afecta a datos personales, dispones de 72 horas para notificar a la AEPD si hay riesgo para los afectados. Este plazo corre aunque no tengas toda la información.
¿Cuándo Hay que Notificar?
Condiciones para la Obligación de Notificar
No todas las brechas de seguridad requieren notificación. El RGPD establece un sistema escalonado:
| Nivel de Riesgo | Obligación | Ejemplo |
|---|---|---|
| Sin riesgo | Documentar internamente | Datos cifrados robados, sin clave comprometida |
| Riesgo para afectados | Notificar a AEPD (72h) | Filtración de emails y nombres |
| Alto riesgo para afectados | Notificar a AEPD + Comunicar a afectados | Filtración de datos de salud, financieros |
Tipos de Datos y Nivel de Riesgo
| Categoría de Datos | Riesgo Típico |
|---|---|
| Nombre + email corporativo | Bajo-Medio |
| Datos de contacto personal | Medio |
| DNI, datos bancarios | Alto |
| Datos de salud | Muy alto |
| Datos de menores | Muy alto |
| Creencias, orientación sexual | Muy alto |
El Plazo de 72 Horas
¿Cuándo Empieza a Contar?
El plazo comienza cuando tienes “conocimiento” de la brecha, no cuando ocurrió. Si te atacaron el lunes pero no lo descubriste hasta el jueves, el plazo empieza el jueves.
Línea Temporal Típica
Hora 0: Detección de incidente
├── Confirmación de que hay brecha
├── Evaluación preliminar de datos afectados
└── Decisión de si notificar
Hora 24: Análisis inicial
├── Identificación de sistemas afectados
├── Estimación de volumen de datos
└── Categorías de datos comprometidos
Hora 48: Documentación
├── Borrador de notificación
├── Medidas de mitigación adoptadas
└── Evaluación de riesgo para afectados
Hora 72: LÍMITE NOTIFICACIÓN
├── Envío a AEPD (Sede Electrónica)
└── Puede ser notificación preliminar si faltan datosNotificación por Fases
Si en 72 horas no tienes toda la información, puedes:
- Notificación preliminar: Con la información disponible
- Notificaciones complementarias: Según avanza la investigación
- Notificación final: Con el análisis completo
Contenido de la Notificación a la AEPD
Información Obligatoria (Art. 33 RGPD)
| Campo | Qué Incluir |
|---|---|
| Naturaleza de la brecha | Qué ocurrió (ransomware, filtración, pérdida…) |
| Categorías de datos | Tipos de datos afectados |
| Categorías de interesados | Clientes, empleados, proveedores… |
| Número aproximado de afectados | Mejor estimación disponible |
| Número de registros | Volumen de datos comprometidos |
| Contacto DPO/responsable | Datos para comunicación |
| Consecuencias probables | Riesgos para los afectados |
| Medidas adoptadas | Qué se ha hecho para mitigar |
Formulario de la AEPD
La notificación se realiza a través de la Sede Electrónica de la AEPD:
- Acceso con certificado digital
- Formulario estructurado de notificación
- Posibilidad de adjuntar documentación
- Confirmación de recepción inmediata
Rol del Perito Forense
En mi trabajo, proporciono información técnica crucial para la notificación:
Lo que Aporto al Proceso
Determinación del alcance: Qué sistemas fueron comprometidos y qué datos contenían.
Categorización de datos: Identificar si hay datos especialmente protegidos (salud, ideología, etc.).
Estimación de afectados: Cuántas personas tienen sus datos comprometidos.
Cronología del incidente: Cuándo ocurrió, cuándo se detectó, cuándo se contuvo.
Vector de ataque: Cómo se produjo la brecha (fundamental para demostrar diligencia).
Evaluación de exfiltración: ¿Los datos salieron de la organización o solo se accedió a ellos?
Informe técnico: Documento con rigor forense que respalda la notificación.
Ejemplo de Hallazgos para Notificación
RESUMEN EJECUTIVO PARA NOTIFICACIÓN AEPD
=========================================
Tipo de incidente: Ransomware con exfiltración
Fecha del ataque: 2026-01-28
Fecha de detección: 2026-01-29 08:15
Fecha de contención: 2026-01-29 14:30
DATOS AFECTADOS:
├── Base de datos clientes: 12.847 registros
│ ├── Nombre completo
│ ├── Email
│ ├── Teléfono
│ └── Dirección postal
├── Datos de empleados: 234 registros
│ ├── Nombre, DNI, cuenta bancaria
│ └── (Datos de nómina)
└── Sin datos de categorías especiales
EXFILTRACIÓN CONFIRMADA:
├── Volumen: 3.2 GB
├── Destino: IP en Rusia
└── Evidencia: Logs de firewall adjuntos
MEDIDAS ADOPTADAS:
├── Aislamiento de sistemas afectados
├── Restablecimiento de credenciales
├── Contratación de perito forense
└── Comunicación interna a empleadosComunicación a los Afectados
Cuándo es Obligatoria
Además de notificar a la AEPD, hay que comunicar directamente a los afectados cuando la brecha supone alto riesgo para sus derechos y libertades.
| Situación | Comunicación a Afectados |
|---|---|
| Datos cifrados, clave no comprometida | Normalmente no |
| Filtración de emails corporativos | Valorar caso por caso |
| Filtración de datos bancarios | Sí |
| Filtración de datos de salud | Sí |
| Filtración de credenciales de acceso | Sí |
Contenido de la Comunicación
| Elemento | Descripción |
|---|---|
| Descripción clara | Qué ha pasado en lenguaje accesible |
| Datos afectados | Qué información suya se ha comprometido |
| Consecuencias probables | Qué riesgos puede correr |
| Medidas adoptadas | Qué está haciendo la empresa |
| Recomendaciones | Qué puede hacer el afectado (cambiar contraseña, vigilar cuenta…) |
| Contacto | Cómo obtener más información |
Buena Práctica
Una comunicación transparente y proactiva a los afectados, aunque no sea legalmente obligatoria, puede reducir significativamente el daño reputacional y demostrar diligencia ante la AEPD.
Consecuencias del Incumplimiento
Sanciones Económicas
| Infracción | Sanción Máxima |
|---|---|
| No notificar brecha | Hasta 10M € o 2% facturación |
| Notificación tardía o incompleta | Variable según gravedad |
| No comunicar a afectados | Hasta 10M € o 2% facturación |
| Medidas de seguridad insuficientes | Hasta 20M € o 4% facturación |
Factores Atenuantes
La AEPD considera favorablemente:
- Notificación en plazo aunque sea preliminar
- Cooperación con la investigación
- Medidas de mitigación proactivas
- Comunicación transparente a afectados
- Existencia de DPO y procedimientos
Factores Agravantes
- Ocultación de la brecha
- Notificación solo tras denuncia de terceros
- Medidas de seguridad manifiestamente insuficientes
- Reincidencia
- Datos de categorías especiales afectados
Caso Práctico: Notificación tras Ransomware
Escenario Real Anonimizado
Una clínica dental de Valencia sufrió un ransomware que afectó a historiales médicos de pacientes. Me contrataron urgentemente para análisis forense y apoyo a la notificación.
Timeline del Incidente
| Hora | Evento |
|---|---|
| Lunes 08:00 | Empleados descubren sistemas cifrados |
| Lunes 10:00 | Me contratan para análisis forense |
| Lunes 14:00 | Confirmo exfiltración de datos a servidor externo |
| Lunes 16:00 | Identifico 8.400 historiales de pacientes afectados |
| Lunes 18:00 | Primera reunión con dirección y abogado |
| Martes 09:00 | Notificación preliminar a AEPD |
| Martes-Jueves | Análisis detallado continúa |
| Jueves 14:00 | Notificación ampliada con detalles completos |
| Viernes | Comunicación a pacientes afectados |
Contenido de la Notificación
Primera notificación (Martes, 25h tras conocimiento):
- Tipo: Ransomware con posible exfiltración
- Datos: Historiales médicos (datos de salud)
- Afectados: Estimación inicial 5.000-10.000 pacientes
- Estado: Investigación en curso
Notificación ampliada (Jueves):
- Afectados confirmados: 8.423 pacientes
- Datos exfiltrados: Nombre, DNI, historial dental, tratamientos
- Período afectado: Pacientes desde 2018
- Medidas: Sistemas reinstalados, credenciales renovadas, monitorización contratada
Resultado
- AEPD abrió expediente informativo (no sancionador)
- Se valoró positivamente la notificación en plazo
- Se recomendaron mejoras de seguridad
- No hubo sanción económica gracias a la diligencia demostrada
Documentación que Aporta el Perito
Para respaldar la notificación a la AEPD, preparo:
- Informe ejecutivo: Resumen no técnico para la notificación
- Cronología detallada: Timeline del incidente
- Análisis de datos afectados: Qué información se comprometió
- Evidencia de exfiltración: Si se produjo salida de datos
- Análisis de vector de ataque: Cómo se produjo la brecha
- Evaluación de medidas de seguridad: Existentes y recomendadas
Conclusión
El cumplimiento de las obligaciones ante la AEPD en caso de brecha no es opcional ni negociable. El plazo de 72 horas es estricto, y la calidad de la notificación puede marcar la diferencia entre un expediente informativo y una sanción millonaria.
Como perito informático forense, mi rol es proporcionar la información técnica precisa y documentada que permita a la organización cumplir sus obligaciones legales y demostrar diligencia ante la autoridad de control.
¿Has sufrido una brecha de seguridad que pueda afectar a datos personales? Contacta con Digital Perito para análisis forense urgente y apoyo técnico en la notificación a la AEPD.
Última actualización: 3 de febrero de 2026 Categoría: Legal Código: AEP-001
Preguntas Frecuentes
¿Cuándo hay que notificar una brecha de seguridad a la AEPD?
Cuando la brecha afecte a datos personales y suponga un riesgo para los derechos y libertades de las personas. El plazo es de 72 horas desde que se tiene conocimiento de la brecha, no desde que ocurrió.
¿Qué información debe incluir la notificación a la AEPD?
Naturaleza de la brecha, categorías de datos afectados, número aproximado de afectados, consecuencias probables, medidas adoptadas para mitigar el daño, y datos de contacto del DPO o responsable.
¿Qué pasa si no notifico una brecha a la AEPD?
Las sanciones pueden alcanzar hasta 10 millones de euros o el 2% de la facturación global. Además, si la brecha se descubre posteriormente, la falta de notificación se considera agravante en el procedimiento sancionador.
Términos Relacionados
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Informe Pericial
Documento técnico-legal elaborado por un perito informático que presenta los resultados de un análisis forense digital con validez probatoria en procedimientos judiciales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita