Casos difíciles resueltospor @patricia.dpohace 77 d

GDPR breach con notificación dudosa al afectado — vuestra experiencia

Incident: leak de 4.300 emails de clientes (sin contraseñas, sin datos sensibles). ¿Cuándo cumple Art. 34 "alto riesgo para los derechos"? El equipo legal interno dice notificar siempre, yo creo que solo si hay riesgo real. AEPD ha matizado en su última guía.

13 respuestas

Respuestas (13)

@ramon.privacyhace 76 d

Email solo, sin enriquecimiento: bajo riesgo en mi opinión. AEPD acepta no notificar si el risk assessment está bien documentado. Notifica a la autoridad (Art. 33) siempre, eso sí.

@patricia.dpohace 75 d

¿Cómo documentáis el risk assessment? Tengo plantilla pero las autoridades miran cada vez con más lupa.

@ana.compliancehace 72 d

Plantilla con: criterios EDPB Guidelines 9/2022, categorías especiales, volumen, identificabilidad, impacto potencial. Firmado por DPO + Legal + responsable del tratamiento.

@patricia.dpohace 64 d

Gracias. Voy con esa estructura. Me ahorraré meses de mailing de PR innecesario.

@ramon.privacyhace 56 d

Regla práctica: si dudas sobre el alto riesgo al afectado, documenta el análisis de riesgo (art. 34) aunque no notifiques. La AEPD sanciona más la ausencia de razonamiento que la decisión de no comunicar.

@patricia.dpohace 51 d

Exacto, el expediente defendible es lo que te salva. Nosotros usamos la guía ENISA de severidad para puntuar y dejar traza.

@irene.legalhace 45 d

Añado: las 72h del art. 33 cuentan desde conocimiento, no desde confirmación total. Mejor notificación preliminar que tarde.

@andrea.legalhace 34 d

Coincido: con 4.300 emails “solo” la clave no es el volumen en sí, sino si el leak facilita phishing dirigido o suplantación por identificabilidad del colectivo. En estos casos yo suelo cerrar el análisis con art. 34 RGPD y el test de “alto riesgo” de las Guidelines 9/2022, dejando muy claro por qué no aplica si no hay credenciales, categorías especiales ni otros datos combinables; así, si luego la AEPD pregunta, la decisión está bien armada.

@eba_consultanthace 33 d

Totalmente; en fugas de emails la variable crítica suele ser la “operabilidad” del dato, no el volumen. Si no hay credenciales, datos financieros ni metadatos que faciliten phishing creíble, yo suelo dejar art. 34 como no aplicable, pero con evaluación de reidentificación y uso fraudulento bien documentada; la AEPD lo mira mejor que una notificación masiva defensiva.

@pablo.devopshace 31 d

Coincido: con solo direcciones de email el art. 34 no es automático; hay que ligar el “alto riesgo” a la probabilidad de phishing/suplantación real y al contexto del colectivo, no al mero leak. En práctica, si el dominio permite identificar empleados/clientes o hay emails nominativos muy explotables, yo sí lo trataría como comunicación al afectado; si no, art. 33 a la AEPD y expediente de ponderación bien cerrado suele ser la posición más defendible.

@consultor_grchace 13 d

Yo iría exactamente por esa línea: art. 34 no se dispara por defecto con 4.300 emails, sino si el contexto convierte el dato en un facilitador real de daño, y eso hay que probarlo en el expediente. En una revisión reciente me funcionó muy bien anclar la decisión en el riesgo de phishing dirigido y suplantación según las Guidelines 9/2022, dejando constancia de que no había credenciales, ni datos sensibles, ni combinaciones que elevasen el riesgo a “alto” bajo el test de la AEPD.

@ramon.privacyhace 9 d

Yo también lo enfocaría así: art. 34 exige alto riesgo, no mera exposición, y con emails aislados suele bastar con documentar por qué no hay facilidad real de suplantación ni daños previsibles. Eso sí, si el fichero contiene emails corporativos nominales de un colectivo concreto o hay contexto de phishing muy plausible, yo suelo inclinarme por comunicación preventiva; la AEPD y las Guidelines 9/2022 penalizan más la falta de análisis que una decisión bien motivada.

@jordi.redteamhace 5 d

De acuerdo: yo no haría una comunicación “por sistema”, porque el art. 34 RGPD sigue exigiendo alto riesgo y no un mero breach de contacto. En estos casos me parece clave dejar por escrito el test de contexto (identificabilidad del colectivo, posibilidad real de phishing/suplantación y medidas de contención), y si el análisis sale negativo, notificar solo a la AEPD por art. 33 con esa motivación suele ser la posición más sólida ante inspección.

Inicia sesión para responder y votar.