{"id":14927,"date":"2019-03-21T00:00:22","date_gmt":"2019-03-20T23:00:22","guid":{"rendered":"https:\/\/www.sage.com\/es-es\/blog\/?p=14927"},"modified":"2026-02-04T18:15:08","modified_gmt":"2026-02-04T17:15:08","slug":"lopdpgdd-plan-de-contingencia-ante-perdida-de-datos-asi-debe-actuar-tu-empresa-ante-un-incidente-para-cumplir-con-la-ley","status":"publish","type":"post","link":"https:\/\/www.sage.com\/es-es\/blog\/lopdpgdd-plan-de-contingencia-ante-perdida-de-datos-asi-debe-actuar-tu-empresa-ante-un-incidente-para-cumplir-con-la-ley\/","title":{"rendered":"LOPDGDD: plan de contingencia ante p\u00e9rdida de datos, as\u00ed debe actuar tu empresa ante un incidente para cumplir con la ley"},"content":{"rendered":"<header class=\"entry-header has-dark-background-color entry-header--has-illustration entry-header--has-illustration--generic\">\n\t<div class=\"container\">\n\t\t<div class=\"entry-header__row row align-center\">\n\t\t\t<div class=\"col col-lg-7 col-xlg-6 entry-header__content\">\n\t\t\t\t\t\t\t<div class=\"component component-single-header\">\n\t\t\t\t\t\t\t\t\t\t<div class=\"entry-header__misc text--subtitle text--uppercase text--small\">\n\t\t\t\t\t\t\t<a href=\"https:\/\/www.sage.com\/es-es\/blog\/categoria\/legal\/\" class=\"entry-header__link\">Legal<\/a>\t\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t<div class=\"entry-title-wrapper\">\n\t\t\t\t\t<h1 class=\"entry-title\">\n\t\t\t\t\t\tLOPDGDD: plan de contingencia ante p\u00e9rdida de datos, as\u00ed debe actuar tu empresa ante un incidente para cumplir con la ley\t\t\t\t\t<\/h1>\n\t\t\t\t<\/div>\n\n\t\t\t\t\t\t\t\t\t<p class=\"entry-header__description\">\n\t\t\t\t\t\t\t\t\t\t\t<\/p>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\n\t\t\t<\/div>\n\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t<\/div>\n\t\t<div class=\"single-post-details container\">\n\t\t<div class=\"col\">\n\t\t\t<span class=\"posted-on \"><time class=\"entry-date published\" datetime=\"2019-03-21T00:00:22+01:00\">21 marzo, 2019<\/time><\/span><span class=\"reading-time\"> minutos de lectura<\/span>\n\t\t<button\n\t\t\ttype=\"button\"\n\t\t\tclass=\"social-share-button button button--icon button--secondary js-social-share-button\"\n\t\t\tdata-share-title=\"LOPDGDD: plan de contingencia ante p\u00e9rdida de datos, as\u00ed debe actuar tu empresa ante un incidente para cumplir con la ley\"\n\t\t\tdata-share-url=\"https:\/\/www.sage.com\/es-es\/blog\/lopdpgdd-plan-de-contingencia-ante-perdida-de-datos-asi-debe-actuar-tu-empresa-ante-un-incidente-para-cumplir-con-la-ley\/\"\n\t\t\tdata-share-text=\"Please read this interesting article\"\n\t\t>\n\t\t\t<span class=\"social-share-button__share-label\">Compartir<\/span>\n\t\t\t<span class=\"social-share-button__copy-label\" hidden>Copy Link<\/span>\n\t\t\t<span class=\"social-share-button__copy-tooltip\" aria-hidden=\"true\" hidden>Copied<\/span>\n\t\t<\/button>\n\n\t\t\t\t<\/div>\n\t<\/div>\n\t<\/header>\n\n\n\n<div class=\"wp-block-post-author has-dark-background-color alignfull\">\n\t<div class=\"container\">\n\t\t<div class=\"col\">\n\t\t\t\t\t\t\t<div class=\"co-authors\">\n\t\t\t\t\t\n\t\t<div class=\"entry-author-wrapper\">\n\t\t\t<a class=\"entry-author\" href=\"https:\/\/www.sage.com\/es-es\/blog\/author\/carlos-roberto-cabelllo\/\">\n\t\t\t\t<img loading=\"lazy\" decoding=\"async\" width=\"40\" height=\"40\" src=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2017\/10\/Carlos-Roberto-Cabello.jpg\" class=\"entry-author__image\" alt=\"Carlos Roberto Cabello\" \/>\t\t\t\t<span class=\"entry-author__name\">Carlos Roberto Cabello<\/span>\n\t\t\t<\/a>\n\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t<\/div>\n<\/div>\n<div class=\"sage-block-classic-wrapper\">\n\n<p>En este post te contamos c\u00f3mo debe ser un plan de contingencia para poder afrontar posibles brechas de seguridad en los datos personales.<\/p>\n<ul>\n<li>\u00bfQu\u00e9 es una brecha de seguridad? \u00bfQu\u00e9 empresas est\u00e1n obligadas a notificarla y cu\u00e1ndo? Plazos legales<\/li>\n<li>Plan de actuaci\u00f3n en la empresa ante un incidente de seguridad: \u00bfqu\u00e9 medidas se deben adoptar y cu\u00e1ndo se da por cerrada la brecha?<\/li>\n<\/ul>\n<p><strong>Todas las empresas han sufrido o van a sufrir un incidente de seguridad<\/strong>. La cuesti\u00f3n no es tanto c\u00f3mo, sino cu\u00e1ndo ocurrir\u00e1. A la vez, hay que estar preparados para minimizar el impacto y tener un plan de actuaci\u00f3n para cumplir con la <a href=\"https:\/\/www.sage.com\/es-es\/blog\/dia-europeo-de-proteccion-de-datos-como-superar-el-liston-de-la-proteccion-de-datos\/\">LOPDGDD<\/a><u>,<\/u> as\u00ed como comunicar a la AEPD dicha brecha de seguridad.<!--more--><\/p>\n<p>La obligaci\u00f3n de notificar las brechas de seguridad que afecten a los tratamientos de datos personales tiene un car\u00e1cter universal, haci\u00e9ndose extensible a <strong>todas aquellas entidades que lleven a cabo un tratamiento de datos de car\u00e1cter personal<\/strong>. La clave est\u00e1 en cu\u00e1ndo considera la empresa que el incidente sufrido supone un riesgo para los derechos y libertades de las personas f\u00edsicas, puesto que en caso afirmativo debe comunicarlo a la autoridad de control competente, en Espa\u00f1a, la <a href=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-se-disparan-las-reclamaciones-a-la-aepd\/\">AEPD<\/a>.<\/p>\n<h2>\u00bfQu\u00e9 es una brecha de seguridad?<\/h2>\n<p>Se entiende por brecha de seguridad aquellas <strong>violaciones de seguridad que ocasionen p\u00e9rdida, destrucci\u00f3n o alteraci\u00f3n accidental o il\u00edcita de datos personales<\/strong> transmitidos, conservados o tratados, as\u00ed como el acceso no autorizado a ellos. No obstante, no todos los incidentes de seguridad son brechas que afecten a los datos personales.<\/p>\n<p>Pongamos un ejemplo, se publica una <strong>vulnerabilidad que est\u00e1 siendo explotada y que afecta a todos los ordenadores de la empresa<\/strong>, as\u00ed como a nuestros servidores. Hay constancia de que nuestra empresa es vulnerable, pero dependemos de un fabricante para que implante una actualizaci\u00f3n que corrija el problema. En este caso, mientras los datos personales no se vean afectados, no deber\u00edamos comunicarlo.<\/p>\n<p>Otro ejemplo: la <strong>empresa sufre un ataque de <em>ransomware<\/em><\/strong> y todos los datos se ven cifrados. Este caso es algo m\u00e1s complicado porque el atacante no ha accedido realmente a los datos, simplemente ha aplicado una capa de cifrado sobre los mismos para impedir que nosotros podamos verlo. Pero, a la vez, s\u00ed se puede producir la p\u00e9rdida o destrucci\u00f3n de datos, especialmente si no tenemos copia de seguridad para restablecerlos. Por lo tanto, s\u00ed ser\u00eda necesario comunicar a la AEPD dicho incidente.<\/p>\n<p>El responsable del tratamiento de datos o en su defecto el <a href=\"https:\/\/www.sage.com\/es-es\/blog\/caracteristicas-de-la-nueva-figura-del-rgpd-el-delegado-de-proteccion-de-datos-infografia\/\">Delegado de Protecci\u00f3n de Datos<\/a><u>,<\/u> en caso de existir esta figura en la empresa, ser\u00e1n los encargados de informar la existencia del problema a la AEPD en el curso de las <strong>72 horas siguientes a la detecci\u00f3n <\/strong>excepto que sea improbable que implique un riesgo para los derechos y libertades de las personas f\u00edsicas. Asimismo, en caso que sea probable un alto riesgo para los derechos y libertadas de las personas f\u00edsicas, deber\u00e1 adem\u00e1s comunicar a los afectados el incidente sufrido.<\/p>\n<h2>\u00bfQui\u00e9n debe comunicar el incidente de seguridad y en qu\u00e9 plazo?<\/h2>\n<p>El responsable del tratamiento de datos o en su defecto el <a href=\"https:\/\/www.sage.com\/es-es\/blog\/caracteristicas-de-la-nueva-figura-del-rgpd-el-delegado-de-proteccion-de-datos-infografia\/\">Delegado de Protecci\u00f3n de Datos<\/a><u>,<\/u> en caso de existir esta figura en la empresa, ser\u00e1n los encargados de informar de la existencia del problema a la AEPD en el curso de las <strong>72 horas siguientes a la detecci\u00f3n<\/strong>. Asimismo, en caso necesario, deber\u00e1 comunicar a los afectados el incidente sufrido.<\/p>\n<h2>\u00bfC\u00f3mo debe actuar la empresa ante una brecha de seguridad?<\/h2>\n<p>El primer paso para la actuaci\u00f3n ante una brecha de seguridad es previo a cualquier incidente. La empresa debe tener preparado y documentado los pasos a seguir cuando ocurre este percance.<\/p>\n<ul>\n<li><strong>Detecci\u00f3n e identificaci\u00f3n<\/strong>: la empresa debe detallar qu\u00e9 medidas tiene para la detecci\u00f3n de problemas y su identificaci\u00f3n. Se trata de diferenciar y clasificar los incidentes que han podido comprometer los datos personales o aquellos que no lo han hecho.\n<ul>\n<li>Ser\u00e1 necesario clasificar el problema que puede ser de tipo bajo, cuando no afecta a un volumen importante de informaci\u00f3n a cr\u00edtico, donde se ve afectado una gran cantidad de datos en un breve espacio de tiempo.<\/li>\n<li>A la vez, hay que identificar la naturaleza de los datos personales afectados. No es lo mismo que afecte a datos de contacto que a datos financieros o de salud, biom\u00e9tricos, etc. Dependiendo del grado de protecci\u00f3n, la empresa clasificar\u00e1 la brecha en una categor\u00eda u otra.<\/li>\n<li>Por \u00faltimo, hay que ver c\u00f3mo <a href=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-derecho-a-la-transparencia-e-informacion-al-afectado-de-los-datos-como-se-gestiona\/\">afecta a los interesados<\/a>, si sufrir\u00e1n alguna molestia, si puede generarles costes o denegaci\u00f3n de servicios o pueden sufrir p\u00e9rdidas patrimoniales por esta brecha de seguridad.<\/li>\n<\/ul>\n<\/li>\n<li>Una vez identificada la brecha y clasificada, es necesario llevar a cabo una r<strong>espuesta que detenga el problema<\/strong>. De forma simult\u00e1nea es necesario llevar a cabo la notificaci\u00f3n ante la AEPD. El responsable del tratamiento puede apoyarse en personal inform\u00e1tico especializado externo tanto para determinar las causas del problema como para el restablecimiento de los datos. Todas estas acciones deben quedar debidamente documentadas.\n<ul>\n<li>Una vez establecido el plan de respuesta, adem\u00e1s de restaurar datos en caso de ser posible, es necesario determinar la causa para evitar que vuelva a ocurrir el mismo problema en un breve periodo de tiempo. Solo una vez contenido el problema debe procederse a restablecer datos y servicio.<\/li>\n<\/ul>\n<\/li>\n<li>Por \u00faltimo, hay que realizar un <strong>seguimiento y cierre del incidente<\/strong>. Para ello es necesario realizar un informe que documente, analice y valore el problema de seguridad y su impacto final<\/li>\n<\/ul>\n<h2>La empresa debe estar preparada para actuar ante un incidente de seguridad<\/h2>\n<p>Por todo esto es necesario que la empresa o, al menos, el responsable del tratamiento tenga <strong>elaborado un protocolo<\/strong>. Adem\u00e1s, hay que tener en cuenta que los <a href=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-estan-tus-empleados-formados-correctamente\/\">empleados pueden ser los primeros en detectar una anomal\u00eda<\/a> o problema de seguridad y tambi\u00e9n que lo causen por desconocimiento.<\/p>\n<p>Basta que un <em>software<\/em> de antivirus nos haya comunicado una alerta a la que no hemos prestado atenci\u00f3n para que un incidente que podr\u00eda haber resultados neutralizado a los pocos minutos se extienda y afecte a una cantidad de datos mucho mayor. Por eso, todos los empleados deben tener formaci\u00f3n y conocer el protocolo a seguir ante un problema de seguridad.<\/p>\n<p>No se trata de que todo el mundo ahora se convierta en un experto en ciberseguridad, pero s\u00ed que se <strong>preste la atenci\u00f3n debida<\/strong> a aspectos que hasta ahora se dejaban en un segundo plano. Y aqu\u00ed entramos desde una pol\u00edtica de mesas limpias hasta la gesti\u00f3n de las credenciales de acceso o las conexiones remotas que se realizan sin las debidas medidas de seguridad.<\/p>\n\n<div class=\"single-cta\">\n\t<div class=\"single-cta__positioner\">\n\t\t<div class=\"single-cta__wrapper has-dark-background-color\">\n\t\t\t<div class=\"single-cta__content\">\n\t\t\t\t\t\t\t\t<h2 class=\"single-cta__title h3\">RGPD formaci\u00f3n para empleados <\/h2>\n\n\t\t\t\t\t\t\t\t\t<div class=\"single-cta__description\">\n\t\t\t\t\t\t<p><strong>Facilita a tus empleados el cumplimiento de la normativa RGPD con una formaci\u00f3n a medida<br \/>\n<\/strong><\/p>\n<ul>\n<li><span style=\"font-size: 11pt\">\u00a1Impartida por profesionales especializados, en modalidad online y con diploma acreditativo!<br \/>\n<\/span><\/li>\n<\/ul>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<a\n\t\t\t\t\t\thref=\"https:\/\/www.sage.com\/es-es\/rgpd\/curso-rgpd-empleados\/\"\n\t\t\t\t\t\tclass=\"single-cta__button button button--primary\"\n\t\t\t\t\t\t\t\t\t\t\t\t\tid=\"cta-id-11429\"\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tdata-button-location=\"cta_box\"\n\t\t\t\t\t\t\t\t\t\t\t>Conoce nuestros cursos online<\/a>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<img decoding=\"async\" width=\"1215\" height=\"810\" src=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2018\/09\/BrandShootLDN_Dec2021_ProfServs_AA0587-OK-1215x810.jpg\" class=\"single-cta__image\" alt=\"Compa\u00f1eros revisando temas en la oficina\" loading=\"lazy\" srcset=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2018\/09\/BrandShootLDN_Dec2021_ProfServs_AA0587-OK-1215x810.jpg 1215w\" sizes=\"auto, (min-width: 48em) 33vw, 100vw\" \/>\t\t\t<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>En este post te contamos c\u00f3mo debe ser un plan de contingencia para poder afrontar posibles brechas de seguridad en los datos personales. \u00bfQu\u00e9 es una brecha de seguridad? \u00bfQu\u00e9 empresas est\u00e1n obligadas a notificarla y cu\u00e1ndo? Plazos legales Plan de actuaci\u00f3n en la empresa ante un incidente de seguridad: \u00bfqu\u00e9 medidas se deben adoptar [&hellip;]<\/p>\n","protected":false},"author":244,"featured_media":19189,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sage_video":false,"post_featured_image_hide":false,"sage_hide_published_date":false,"sage_hide_read_time":false,"sage_hide_share_buttons":false,"footnotes":""},"categories":[6],"tags":[202,249],"business_type":[10,11,8],"lilypad":[],"context":[],"industry":[],"persona":[],"imagine_tag":[260],"coauthors":[413],"class_list":["post-14927","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal","tag-novedades-legales","tag-rgpd","business_type-pequena-empresa","business_type-mediana-empresa","business_type-asesorias-despachos-profesionales"],"sage_meta":{"region":"es-es","author_name":"Carlos Roberto Cabello","featured_image":"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2020\/07\/GettyImages-1172587378-LOW.jpg","imagine_tags":{"260":"Legal"}},"distributor_meta":false,"distributor_terms":false,"distributor_media":false,"distributor_original_site_name":"Sage Advice Espa\u00f1a","distributor_original_site_url":"https:\/\/www.sage.com\/es-es\/blog","push-errors":false,"_links":{"self":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts\/14927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/users\/244"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/comments?post=14927"}],"version-history":[{"count":0,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts\/14927\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/media\/19189"}],"wp:attachment":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/media?parent=14927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/categories?post=14927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/tags?post=14927"},{"taxonomy":"business_type","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/business_type?post=14927"},{"taxonomy":"lilypad","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/lilypad?post=14927"},{"taxonomy":"context","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/context?post=14927"},{"taxonomy":"industry","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/industry?post=14927"},{"taxonomy":"persona","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/persona?post=14927"},{"taxonomy":"imagine_tag","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/imagine_tag?post=14927"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/coauthors?post=14927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}