Volver al Blog
LegalTech & IA

¿Comunicar o no? La decisión legal que puede salvar (o hundir) tu empresa tras un incidente de seguridad

Comité Editorial de NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
9 de julio de 2026
10 min de lectura
¿Comunicar o no? La decisión legal que puede salvar (o hundir) tu empresa tras un incidente de seguridad

¿Cuándo es obligatorio reportar un incidente de seguridad en Brasil?

Según la nueva resolución de la ANPD, las empresas deben reportar incidentes que puedan causar daño significativo a los titulares de datos. La decisión debe tomarse en un plazo máximo de 72 horas tras conocer el incidente. No reportar a tiempo puede resultar en multas de hasta el 2% de la facturación anual.

Imagina que te despiertas con un correo de tu equipo de TI: "Hemos detectado un acceso no autorizado a la base de datos de clientes". Tu primer impulso es llamar a un abogado, pero el tiempo corre. La nueva Resolución CD/ANPD n. 15/2024 en Brasil ha puesto un reloj de arena sobre la mesa: decides en horas si comunicas o no a la autoridad de protección de datos (ANPD). Y esa decisión puede costarte millones o salvarte la reputación.

¿Por qué esta resolución es un game changer?

Antes, la LGPD (Ley General de Protección de Datos brasileña) ya exigía comunicar incidentes que pudieran generar riesgo o daño a los titulares. Pero la resolución aclara los criterios y plazos: ahora sabes exactamente cuándo y cómo reportar. El problema es que muchas empresas siguen en la nebulosa, pensando que "mejor no avisar para no llamar la atención". Grave error.

La ANPD no es un monstruo debajo de la cama. Es más bien ese vecino que se queja si pones música alta después de las 10. Si no comunicas un incidente que debías reportar, las sanciones van desde una simple advertencia hasta multas de hasta el 2% de la facturación (limitadas a 50 millones de reales). Y ojo: la resolución también exige documentar la decisión de no comunicar. Así que si decides callar, tendrás que justificarlo por escrito.

El dilema: ¿comunicar o no comunicar?

Aquí viene la parte divertida (o no tanto). La resolución establece que debes comunicar si el incidente puede afectar la privacidad de los titulares: acceso no autorizado, pérdida de datos, alteración, etc. Pero no todo incidente merece un reporte. Por ejemplo, si un empleado borra accidentalmente un archivo sin datos personales, no pasa nada. Pero si ese archivo contenía CPFs y direcciones, la cosa cambia.

La decisión es como elegir entre ir al médico por un resfriado o esperar a que sea neumonía. Si comunicas un incidente menor, la ANPD te felicitará por tu transparencia. Si no comunicas uno grave, te lloverán multas. El truco está en evaluar el riesgo real: ¿hay probabilidad de daño a los titulares? ¿El incidente involucra datos sensibles? ¿Afecta a muchos usuarios?

Los plazos que no puedes ignorar

La resolución exige comunicar a la ANPD en un plazo razonable, que se interpreta como máximo 72 horas después de tomar conocimiento del incidente. Pero ojo: no es desde que ocurre, sino desde que tu equipo lo descubre. Así que si tu CISO se va de vacaciones y nadie revisa los logs, el reloj corre igual.

Además, debes informar a los titulares afectados sin demora injustificada. La comunicación debe ser clara y describir: naturaleza del incidente, datos involucrados, medidas de mitigación y recomendaciones. Nada de tecnicismos legales que nadie entiende.

¿Cómo prepararse para no improvisar?

La mejor estrategia es tener un plan de respuesta a incidentes que incluya un árbol de decisión: ¿esto se comunica? ¿A quién? ¿En qué plazo? Designa un equipo responsable (DPO, legal, TI) y haz simulacros. Sí, como los simulacros de incendio, pero con menos humo y más estrés.

También documenta todo: desde el momento en que se detecta el incidente hasta las acciones tomadas. La ANPD puede pedirte evidencias de tu proceso de decisión. Si no tienes nada escrito, parecerá que improvisaste. Y eso no inspira confianza.

En resumen: la nueva resolución no es tu enemiga. Es una guía para hacer lo correcto. Comunica cuando debas, documenta cuando no. Y recuerda: en la era de los datos, la transparencia es tu mejor seguro.

FAQ

¿Qué tipo de incidentes deben reportarse a la ANPD?

Deben reportarse aquellos incidentes que representen un riesgo o daño significativo a los titulares de datos, como acceso no autorizado, pérdida de datos sensibles o ransomware que afecte la disponibilidad de sistemas críticos.

¿Cuáles son las consecuencias de no reportar un incidente?

Las empresas pueden enfrentar multas de hasta el 2% de su facturación anual en Brasil, limitadas a 50 millones de reales por infracción. Además, pueden sufrir daños reputacionales y acciones legales por parte de los afectados.

¿Cómo preparar un reporte de incidente efectivo?

El reporte debe incluir: descripción del incidente, tipo de datos afectados, número de titulares involucrados, medidas de mitigación tomadas y un cronograma de acciones. Es recomendable contar con un plan de respuesta a incidentes previamente aprobado.

📋 Checklist: ¿Debo comunicar el incidente a la ANPD?
Si marcaste al menos una casilla, probablemente debas comunicar. Consulta a tu DPO.
NakedPact Logo

Comité Editorial de NakedPact

Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.

¿Eres propietario de un sitio web?

¿Eres propietario de un sitio web?

¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.

🛡️ Protege tus derechos con un clic

No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.

No confíes, verifica.

Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.

Analiza tu Contrato Ahora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.