Volver al Blog
LegalTech & IA

¿Se te pasó el plazo de 72 horas para notificar un data breach? Esto es lo que dice el GDPR

Comité Editorial de NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
12 de julio de 2026
10 min de lectura
¿Se te pasó el plazo de 72 horas para notificar un data breach? Esto es lo que dice el GDPR

¿Qué pasa si no notifico el breach a tiempo?

El GDPR exige notificar a la autoridad de control competente en un plazo máximo de 72 horas desde que se tiene conocimiento de la violación de seguridad. Pero la vida real no siempre coopera: fines de semana, festivos, falta de información... ¿Qué ocurre si no llegas? Tranquilo, no es el fin del mundo, pero hay que actuar con cabeza.

Featured Snippet Bait: Si no puedes notificar dentro de las 72 horas, el GDPR exige que envíes una notificación tardía junto con una explicación detallada de las razones de la demora. No hay multa automática por el retraso, pero la autoridad evaluará cada caso.

La regla de oro: documenta todo

El artículo 33 del GDPR establece que, si la notificación no se realiza en el plazo de 72 horas, deberá ir acompañada de los motivos de la demora. Así que tu mejor aliado es un registro cronológico de cada paso que diste desde que detectaste el incidente. Piensa en ello como un diario de tu pesadilla: hora del descubrimiento, primeras acciones, dificultades técnicas, etc.

Por ejemplo, si el breach ocurrió un viernes a las 23:00 y tu equipo de seguridad no está disponible hasta el lunes, documenta esa limitación. La autoridad valora la transparencia y el esfuerzo, no la perfección.

¿Y si ni siquiera sé que ha ocurrido un breach?

El GDPR habla de "tener conocimiento" del breach. No es necesario que tengas todos los detalles, sino que exista una sospecha razonable. Si descubres algo raro, empieza a contar las 72 horas desde ese momento. Si luego resulta que no era un breach, puedes rectificar. Mejor prevenir que lamentar.

Una analogía: es como cuando hueles a gas en casa. No esperas a confirmar la fuga con un análisis químico; llamas al técnico y cierras la llave. Con los datos, igual: ante la duda, notifica.

Consecuencias reales de no notificar a tiempo

Las multas por no notificar pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio anual global, lo que sea mayor. Pero ojo: la sanción no es automática por el retraso, sino por la falta de notificación o por una notificación incompleta. Si demoras pero justificas, reduces el riesgo.

Además, las autoridades europeas han mostrado cierta flexibilidad en casos de fuerza mayor o cuando la organización demuestra diligencia. No es un salvoconducto, pero ayuda.

Pasos prácticos si ya se te pasó el plazo

  • Notifica inmediatamente, aunque sea tarde. Incluye una explicación detallada de las causas del retraso.
  • Adjunta toda la documentación de tu investigación interna: correos, actas de reuniones, logs de sistemas.
  • Si el breach afecta a datos de personas, informa también a los afectados sin demora (art. 34 GDPR).
  • Considera contratar a un DPO externo o asesor legal especializado si el caso es complejo.

Recuerda: el GDPR no busca castigar, sino proteger. Una actitud proactiva y transparente siempre suma puntos.

FAQ

¿Me pueden multar solo por notificar fuera de plazo?

No automáticamente. La autoridad evaluará las razones de la demora. Si justificas adecuadamente, es probable que no haya sanción por el mero retraso.

¿Qué información debe incluir la notificación tardía?

Debe contener la misma información que una notificación normal (naturaleza del breach, categorías de datos, medidas adoptadas) más una explicación detallada de por qué no se notificó en 72 horas.

¿El plazo de 72 horas incluye fines de semana y festivos?

Sí, el plazo corre de forma continua. Pero si el breach se descubre en un día no laborable, documenta las dificultades operativas para justificar la demora.

📋 Checklist de notificación tardía

  • Notificar a la autoridad inmediatamente
  • Incluir explicación detallada del retraso
  • Adjuntar registro cronológico de acciones
  • Informar a los afectados si hay alto riesgo
  • Documentar medidas correctivas adoptadas

Marca mentalmente cada paso completado. La transparencia es tu mejor defensa.

NakedPact Logo

Comité Editorial de NakedPact

Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.

¿Eres propietario de un sitio web?

¿Eres propietario de un sitio web?

¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.

🛡️ Protege tus derechos con un clic

No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.

No confíes, verifica.

Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.

Analiza tu Contrato Ahora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.