¿Se te pasó el plazo de 72 horas para notificar un data breach? Esto es lo que dice el GDPR

Índice de Contenidos
¿Qué pasa si no notifico el breach a tiempo?
El GDPR exige notificar a la autoridad de control competente en un plazo máximo de 72 horas desde que se tiene conocimiento de la violación de seguridad. Pero la vida real no siempre coopera: fines de semana, festivos, falta de información... ¿Qué ocurre si no llegas? Tranquilo, no es el fin del mundo, pero hay que actuar con cabeza.
Featured Snippet Bait: Si no puedes notificar dentro de las 72 horas, el GDPR exige que envíes una notificación tardía junto con una explicación detallada de las razones de la demora. No hay multa automática por el retraso, pero la autoridad evaluará cada caso.
La regla de oro: documenta todo
El artículo 33 del GDPR establece que, si la notificación no se realiza en el plazo de 72 horas, deberá ir acompañada de los motivos de la demora. Así que tu mejor aliado es un registro cronológico de cada paso que diste desde que detectaste el incidente. Piensa en ello como un diario de tu pesadilla: hora del descubrimiento, primeras acciones, dificultades técnicas, etc.
Por ejemplo, si el breach ocurrió un viernes a las 23:00 y tu equipo de seguridad no está disponible hasta el lunes, documenta esa limitación. La autoridad valora la transparencia y el esfuerzo, no la perfección.
¿Y si ni siquiera sé que ha ocurrido un breach?
El GDPR habla de "tener conocimiento" del breach. No es necesario que tengas todos los detalles, sino que exista una sospecha razonable. Si descubres algo raro, empieza a contar las 72 horas desde ese momento. Si luego resulta que no era un breach, puedes rectificar. Mejor prevenir que lamentar.
Una analogía: es como cuando hueles a gas en casa. No esperas a confirmar la fuga con un análisis químico; llamas al técnico y cierras la llave. Con los datos, igual: ante la duda, notifica.
Consecuencias reales de no notificar a tiempo
Las multas por no notificar pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio anual global, lo que sea mayor. Pero ojo: la sanción no es automática por el retraso, sino por la falta de notificación o por una notificación incompleta. Si demoras pero justificas, reduces el riesgo.
Además, las autoridades europeas han mostrado cierta flexibilidad en casos de fuerza mayor o cuando la organización demuestra diligencia. No es un salvoconducto, pero ayuda.
Pasos prácticos si ya se te pasó el plazo
- Notifica inmediatamente, aunque sea tarde. Incluye una explicación detallada de las causas del retraso.
- Adjunta toda la documentación de tu investigación interna: correos, actas de reuniones, logs de sistemas.
- Si el breach afecta a datos de personas, informa también a los afectados sin demora (art. 34 GDPR).
- Considera contratar a un DPO externo o asesor legal especializado si el caso es complejo.
Recuerda: el GDPR no busca castigar, sino proteger. Una actitud proactiva y transparente siempre suma puntos.
FAQ
¿Me pueden multar solo por notificar fuera de plazo?
No automáticamente. La autoridad evaluará las razones de la demora. Si justificas adecuadamente, es probable que no haya sanción por el mero retraso.
¿Qué información debe incluir la notificación tardía?
Debe contener la misma información que una notificación normal (naturaleza del breach, categorías de datos, medidas adoptadas) más una explicación detallada de por qué no se notificó en 72 horas.
¿El plazo de 72 horas incluye fines de semana y festivos?
Sí, el plazo corre de forma continua. Pero si el breach se descubre en un día no laborable, documenta las dificultades operativas para justificar la demora.
📋 Checklist de notificación tardía
- Notificar a la autoridad inmediatamente
- Incluir explicación detallada del retraso
- Adjuntar registro cronológico de acciones
- Informar a los afectados si hay alto riesgo
- Documentar medidas correctivas adoptadas
Marca mentalmente cada paso completado. La transparencia es tu mejor defensa.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

El Sandbox de IA de Brasil: Lecciones Prácticas para Empresas (y lo que Nadie te Dice)

El Garante no responde: ¿y ahora qué? La Cassazione rompe el silencio

Cláusulas de No Competencia: Cuando la Prohibición de Trabajar se Convierte en una Trampa Legal
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora