Volver al Blog
LegalTech & IA

¿Tu empresa está obligada a notificar un data breach? La guía definitiva sobre el daño 'real y significativo' en PIPEDA

Comité Editorial de NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
10 de junio de 2026
10 min de lectura
¿Tu empresa está obligada a notificar un data breach? La guía definitiva sobre el daño 'real y significativo' en PIPEDA

¿Qué es un daño 'real y significativo' en PIPEDA?

Según la Oficina del Comisionado de Privacidad de Canadá (OPC), un daño es 'real y significativo' cuando afecta la dignidad, reputación, salud, finanzas o seguridad de una persona. No basta con que haya una fuga de datos; debe haber un riesgo concreto de perjuicio.

Por ejemplo, si un empleado pierde una laptop con datos cifrados y no hay evidencia de acceso no autorizado, probablemente no se requiere notificación. Pero si se filtran números de seguro social y direcciones, el riesgo de robo de identidad es real.

El umbral de notificación obligatoria

Desde 2018, PIPEDA exige notificar a la OPC y a los afectados si es probable que el breach cause un daño real y significativo. La clave está en 'probable': no es suficiente una posibilidad remota.

La OPC evalúa factores como la sensibilidad de los datos, la cantidad de personas afectadas, la duración de la exposición y las medidas de mitigación. Si implementaste cifrado o borrado remoto, el daño puede no ser significativo.

La notificación obligatoria bajo PIPEDA se activa cuando un data breach presenta un riesgo real de daño significativo, como robo de identidad o pérdida financiera. No todos los incidentes requieren notificación; solo aquellos donde el daño es probable y concreto.

Ejemplos prácticos: ¿notificar o no?

  • Escenario A: Un hacker accede a una base de datos con nombres y correos electrónicos. Sin contraseñas ni datos financieros. ¿Daño real? Bajo. Probablemente no requiere notificación.
  • Escenario B: Se filtran números de tarjetas de crédito y códigos CVV. El riesgo de fraude es alto. Notificación obligatoria.
  • Escenario C: Un empleado envía por error un archivo con datos médicos a un destinatario equivocado. Si el destinatario no lo abrió y se elimina el archivo, el daño puede no ser significativo.

La analogía favorita de los abogados: es como si tu vecino viera tu código de tarjeta de crédito por accidente vs. que lo publique en redes sociales. La diferencia es el alcance y la intención.

Consecuencias de no notificar

No notificar un breach que cumple los requisitos puede resultar en multas de hasta $100,000 CAD por infracción. Además, el daño reputacional puede ser peor que la multa.

La OPC ha intensificado las auditorías. Si tienes dudas, notifica. Es mejor prevenir que lamentar.

FAQ

¿Qué plazo tengo para notificar un data breach bajo PIPEDA?

Debes notificar a la OPC y a los afectados tan pronto como sea posible, y en un plazo máximo de 30 días desde que tengas conocimiento del breach.

¿Qué información debe incluir la notificación?

Debe describir el incidente, el tipo de datos comprometidos, las medidas tomadas para mitigar el daño, y los pasos que los afectados pueden seguir para protegerse.

¿Están exentas las pequeñas empresas de notificar?

No. PIPEDA aplica a todas las organizaciones que recopilan, usan o divulgan información personal en el curso de actividades comerciales, sin importar su tamaño.

🔍 Checklist: ¿Debo notificar?

Alto
Medio
Alto
Bajo
Alto

Selecciona los factores aplicables. Si hay al menos un riesgo alto, notifica.

NakedPact Logo

Comité Editorial de NakedPact

Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.

¿Eres propietario de un sitio web?

¿Eres propietario de un sitio web?

¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.

🛡️ Protege tus derechos con un clic

No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.

No confíes, verifica.

Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.

Analiza tu Contrato Ahora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.