Saltar al contenido principal
AI Empire
Legal · Incident Response

Data breach notification clínica · procedimiento RGPD 72h 2026

Cuando una clínica privada sufre una brecha de seguridad que afecta datos personales · el reloj de 72 horas del Art 33 RGPD empieza a correr desde el momento de conocimiento del incidente · no desde su origen. En este plazo la clínica debe notificar a la AEPD documentando categoría de datos comprometidos · número aproximado de afectados · consecuencias probables · medidas adoptadas. Esta obligación legal no es opcional · y la ausencia o tardanza injustificada de la notificación es una de las infracciones más sancionadas por la AEPD en sector sanitario · típicamente entre 40.000 € y 300.000 € incluso para clínicas pequeñas · más reputación gravemente comprometida. Esta guía estructura el protocolo completo de respuesta a data breach para una clínica privada · qué actos ejecutar las primeras 24 horas · cuándo notificar a pacientes adicionalmente a AEPD · qué documentación interna conservar · cómo manejar forense · y qué plan de prevención implementar post-breach para evitar reincidencia. No es teoría · es checklist operativo que cada clínica debería tener escrito antes de necesitarlo.

1. Qué es legalmente un data breach · definición Art 4.12 RGPD

Art 4.12 RGPD define violación de seguridad datos personales como "toda violación de la seguridad que ocasione la destrucción · pérdida o alteración accidental o ilícita de datos personales transmitidos · conservados o tratados de otra forma · o la comunicación o acceso no autorizados a dichos datos". Esta definición es amplia intencionalmente y cubre tres categorías que la AEPD detalla en Guía Notificación Brechas Seguridad: (1) Brecha de confidencialidad · acceso no autorizado o divulgación de datos (ej. ataque ransomware con exfiltración datos · USB perdido con datos pacientes · email con adjunto historia clínica enviado a destinatario equivocado · acceso indebido empleado a fichas pacientes no asignados). (2) Brecha de integridad · alteración no autorizada de datos (ej. modificación maliciosa registro paciente · corrupción base datos por malware · errores sistemáticos software que alteran datos). (3) Brecha de disponibilidad · pérdida acceso o destrucción datos (ej. ransomware sin pago rescate y sin backup · disco duro dañado sin backup recuperable · borrado accidental empleado de datos críticos). La obligación notificar 72h se activa para todas tres categorías cuando hay riesgo derechos personas afectadas.

2. Primeras 24 horas · checklist operativo de respuesta

Las primeras 24 horas son críticas. Pasos en orden recomendado: (1) Detectar y confirmar incidente · típicamente alguien (empleado · sistema monitorización · cliente externo) reporta anomalía · responsable seguridad confirma que es brecha real no falso positivo. (2) Contención inmediata · aislar sistemas afectados (desconectar de red · revocar accesos credenciales comprometidas · pausar workflows afectados) sin destruir evidencia forense. (3) Activar comité crisis · responsable seguridad/IT · DPO si existe · dirección clínica · asesor legal externo · soporte técnico forense (in-house o externo). (4) Documentación inicial · registro timestamps · descripción incidente · sistemas afectados conocidos · vector ataque sospechado · primeras estimaciones afectación. (5) Preservación evidencia · imagen forense disco · logs sistemas · capturas pantalla · NO modificar sistemas afectados hasta que forense complete análisis inicial. (6) Comunicación interna · informar staff con need-to-know · evitar pánico · evitar comunicación externa sin coordinar. (7) Notificar autoridades adicionales si aplica · Brigada Investigación Tecnológica si ataque criminal · seguros ciberriesgo si póliza activa. (8) Iniciar evaluación riesgo formal Art 33.1 RGPD para decidir notificación AEPD.

3. Cuándo notificar AEPD · evaluación riesgo Art 33

Art 33.1 RGPD establece obligación notificar AEPD "a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas". La AEPD ha clarificado en Guía 2/2020 y posteriores resoluciones que en sector sanitario el threshold de notificación es bajo dada la sensibilidad categoría datos Art 9. Casos donde notificación es prácticamente obligatoria: (1) Cualquier brecha confidencialidad afectando historia clínica · diagnósticos · prescripciones · imagen médica. (2) Exposición datos identificativos pacientes combinados con cualquier dato categoría salud (incluso solo "es paciente de la clínica" puede ser dato categoría 9 si revela tratamiento específico). (3) Acceso no autorizado a sistemas con datos pacientes incluso sin extracción confirmada (presumir extracción si no se puede probar lo contrario). (4) Pérdida dispositivo (laptop · USB · móvil · papel) con datos pacientes incluso si cifrado robusto (cifrado mitiga riesgo pero AEPD recomienda notificar y documentar cifrado como medida mitigación). Casos donde puede no requerir notificación: (1) Brecha disponibilidad recuperada de backup verificado en horas sin afectación pacientes. (2) Email mal-enviado interceptado y eliminado por destinatario antes de lectura con prueba documental. (3) Datos completamente anonimizados (no pseudonimizados) afectados.

4. Cómo notificar AEPD · plataforma electrónica y contenido mínimo

La notificación se hace exclusivamente a través de la sede electrónica AEPD (www.aepd.es) en el formulario "Notificación de quiebras de seguridad". Es necesario certificado digital del responsable tratamiento (clínica) para presentarla. Contenido mínimo Art 33.3 RGPD: (1) Descripción naturaleza brecha · categorías datos afectados · categorías y número aproximado interesados afectados · categorías y número aproximado registros datos. (2) Datos contacto DPO si existe · o punto contacto alternativo donde obtener más información. (3) Consecuencias probables de la brecha. (4) Medidas adoptadas o propuestas para resolver brecha · incluyendo mitigar posibles efectos negativos. Si no se dispone toda información en 72h se puede notificar parcialmente y completar progresivamente · es preferible a esperar a tener todo y superar plazo. La AEPD valora positivamente cooperación · transparencia · y demostración medidas razonables · y valora negativamente ocultación · minimización indebida · y obstaculización investigación.

5. Cuándo notificar pacientes adicionalmente · Art 34

EscenarioNotificación AEPDNotificación pacientes
Pérdida USB sin cifrar historia clínicaObligatoria 72hObligatoria sin dilación
Ransomware con exfiltración confirmadaObligatoria 72hObligatoria sin dilación
Email datos paciente a destinatario equivocadoRecomendadaRecomendada al afectado
Acceso indebido empleado a fichasObligatoria si >1 fichaRecomendada si extracción
Pérdida dispositivo con cifrado AES-256Recomendada documentarNo obligatoria si cifrado
Brecha disponibilidad recuperada 4hRecomendada documentarNo obligatoria
Phishing exitoso con acceso a 1 cuenta adminObligatoria 72hEvaluar afectación real
Datos publicados accidentalmente web públicaObligatoria 72hObligatoria sin dilación

6. Comunicación a pacientes · qué decir y qué evitar

Cuando es necesario notificar pacientes Art 34 RGPD requiere comunicación "en un lenguaje claro y sencillo" sin tecnicismo opaco. Estructura recomendada de comunicación: (1) Identificación clara incidente · qué pasó · cuándo · cuánto duró si conocido. (2) Categorías datos afectados específicas para ese paciente · "su nombre · DNI · datos contacto y historial tratamientos 2023-2026" mejor que "datos personales". (3) Consecuencias probables para el paciente · suplantación identidad · phishing dirigido · uso datos para fraude · etc. (4) Medidas adoptadas por la clínica · técnicas · organizativas · forense · cooperación AEPD · denuncia policial si aplica. (5) Recomendaciones acción paciente · cambiar contraseñas si compartidas con clínica · vigilar movimientos bancarios · alerta phishing · etc. (6) Datos contacto DPO o responsable seguridad para preguntas adicionales. (7) Disculpa sincera sin minimizar incidente. Lo que evitar: lenguaje legal hermético que oculte gravedad · minimización indebida del riesgo real · culpabilizar a terceros sin transparencia propia · prometer compensaciones que luego no se cumplan. La transparencia honesta · aunque dolorosa a corto plazo · es lo único que preserva confianza paciente a largo plazo.

7. Documentación interna · registro brechas obligatorio

Art 33.5 RGPD obliga responsable tratamiento documentar TODAS las violaciones seguridad · incluyendo las que NO requieren notificación AEPD. Esta documentación interna no se presenta a AEPD habitualmente pero debe estar disponible en caso de inspección o auditoría. Contenido mínimo registro: (1) Identificación incidente · ID interno · fecha detección · fecha estimada origen. (2) Descripción detallada · qué pasó · vector ataque o causa raíz · sistemas afectados · datos comprometidos. (3) Evaluación riesgo · análisis Art 33 documentado · justificación decisión notificar o no notificar AEPD. (4) Medidas técnicas y organizativas adoptadas · contención · forense · remediation · prevention futura. (5) Comunicaciones realizadas · AEPD si aplica · pacientes si aplica · autoridades adicionales si aplica · timestamps cada una. (6) Lecciones aprendidas · qué cambios procesos o tecnología se implementan para evitar repetición. (7) Costes derivados · forense · legal · técnico · comunicación · compensaciones · multas. El registro es prueba clave en cualquier inspección AEPD posterior · demostrar cultura proactiva de gestión riesgo es factor mitigante en sanciones eventuales.

8. Forense incidente · qué hacer y qué NO hacer

El análisis forense determina alcance real brecha · causa raíz · y prueba digital admisible en eventual procedimiento sancionador o penal. Buenas prácticas forense: (1) Preservar evidencia desde minuto 1 · imágenes forenses bit-a-bit de discos afectados · captura logs sistemas · timeline eventos cronológico · cadena custodia documentada. (2) Contratar forense externo si in-house no tiene capacidad demostrable · empresas especializadas tipo S2 Grupo · ISGlobal · Innotec · Inetum entre otras · coste 5.000-30.000 € según alcance. (3) Análisis enfocado responder preguntas críticas: ¿cómo entró atacante? ¿qué datos accedió/exfiltró? ¿qué backdoors dejó? ¿qué movimientos laterales hizo? ¿desde cuándo está presente? (4) Reporte forense formal entregable a AEPD si requerido · estructurado · objetivo · sin especulación sin evidencia. NO hacer: (1) Modificar sistemas afectados antes preservación evidencia (perdida cadena custodia). (2) Reinstalar sistemas afectados sin análisis previo (perdida indicios). (3) Pagar rescate ransomware sin asesoramiento legal · puede contravenir sanciones internacionales · y no garantiza recuperación · y financia ataques futuros. (4) Comunicación externa sin coordinar con forense (puede alertar atacante y modificar comportamiento).

9. Multas posibles · escalado sanciones AEPD sanitario

Las sanciones RGPD pueden alcanzar 20M € o 4% facturación global · pero la AEPD aplica criterios proporcionalidad. Histórico sanciones AEPD en sector sanitario (2020-2025): (1) Clínicas pequeñas con brechas menores y cooperación: multas 6.000-20.000 €. (2) Clínicas medianas con brechas significativas: multas 30.000-100.000 €. (3) Hospitales o grupos clínicas con brechas graves afectando muchos pacientes: multas 100.000-500.000 €. (4) Incumplimiento agravado por ausencia notificación · ocultación · obstaculización: multas 200.000-2M €. Factores agravantes: (1) No notificar en 72h sin justificación. (2) Brecha resultado de ausencia medidas seguridad básicas (sin cifrado · sin backup · sin parches críticos · contraseñas débiles). (3) Falta cooperación investigación AEPD. (4) Reincidencia. (5) Naturaleza datos especialmente sensible (psiquiatría · salud mental · ETS · genéticos · oncológicos). Factores atenuantes: (1) Notificación voluntaria proactiva antes detección AEPD. (2) Cooperación total investigación. (3) Medidas reactivas inmediatas y completas. (4) Compensación voluntaria afectados. (5) Plan prevention robusto post-incidente. (6) Primera infracción sin reincidencia.

10. Cooperación AEPD · cómo manejar la inspección

Tras la notificación 72h la AEPD puede abrir procedimiento investigación que puede culminar en sanción · medidas correctoras o archivo. Cooperación efectiva incluye: (1) Designar punto contacto único en clínica (DPO o asesor legal) para todas comunicaciones AEPD · evita mensajes contradictorios. (2) Responder requerimientos información en plazos otorgados · solicitar prórroga formal si necesario antes vencimiento. (3) Entregar documentación completa pedida · registro actividades tratamiento Art 30 · evaluaciones impacto si aplican · auditorías seguridad · contratos encargados tratamiento · evidencia formación empleados. (4) Facilitar acceso instalaciones e información si inspección presencial AEPD · acompañar inspectores con representante autorizado clínica · documentar actuaciones realizadas. (5) Reconocer hechos demostrados con honestidad · negar evidente daña credibilidad y agrava sanción. (6) Presentar voluntariamente medidas correctoras adoptadas con evidencia implementación. (7) Si se va a recurrir sanción · agotar vía administrativa (recurso reposición AEPD · luego contencioso-administrativo) con asesoramiento legal especializado.

11. Prevention plan post-breach · qué cambiar para no repetir

  • Implementar MFA todos accesos sistemas críticos · contraseñas robustas con gestor centralizado · revocación inmediata bajas
  • Cifrado en reposo todos dispositivos con datos pacientes · cifrado tránsito TLS 1.3+ · cifrado backups
  • Backup 3-2-1 testado mensualmente con restore drill real · al menos 1 copia offline air-gapped resistente ransomware
  • Parcheo crítico <72h CVE-score 9+ · parcheo alto <14 días · auditoría parches mensual
  • Segmentación red · sistemas críticos aislados de red estándar · acceso VPN con MFA
  • Monitorización SIEM o EDR con alertas tiempo real eventos sospechosos · revisión semanal logs anomalías
  • Formación empleados anual phishing + brechas físicas · simulaciones phishing trimestrales con resultados
  • Política least-privilege · cada empleado solo accede datos estrictamente necesarios su función · review trimestral accesos
  • Plan continuidad negocio testado anualmente · simulacro respuesta brecha con todo el equipo
  • Contratación seguro ciberriesgo con cobertura forense + legal + multas asegurables + comunicación crisis
  • Auditoría seguridad externa anual con consultora especializada sanitaria · reporte y plan acción
  • Registro brechas y near-misses mensual · cultura blameless post-mortem · aprendizaje continuo

12. Plantilla protocolo data breach · checklist accionable clínica

Toda clínica privada debe tener protocolo escrito accesible al staff antes de necesitarlo. Estructura recomendada: (1) Definiciones · qué se considera brecha · qué se considera near-miss · responsables · canales contacto. (2) Flowchart decisional · "ante un evento sospechoso · ¿es brecha confirmada? ¿afecta datos personales? ¿requiere notificación AEPD?" con criterios claros y árbol decisión visual. (3) Roles y responsabilidades · quién hace qué en cada fase · responsable seguridad · DPO · dirección · asesor legal · forense externo · comunicación. (4) Plantillas comunicación · borradores notificación AEPD · borrador comunicación paciente · borrador comunicación interna · adaptable rápidamente. (5) Lista contactos emergencia · DPO · asesor legal · forense externo · seguro ciberriesgo · Brigada Investigación Tecnológica · todo con teléfonos 24/7 disponibles. (6) Documentación obligatoria · plantilla registro brecha Art 33.5 · plantilla evaluación riesgo · plantilla informe forense final · plantilla lecciones aprendidas. (7) Cronograma post-incidente · 0-24h · 24-72h · 72h-1 semana · 1 semana-1 mes · 1-3 meses · acciones específicas cada fase. (8) Revisión protocolo · simulacros anuales · actualización tras cambios normativos o cada incidente real.

Para política completa retención datos pacientes ver /data-retention-policy. Para plan recuperación desastre técnico complementario ver /disaster-recovery-plan. Para gestión riesgo proveedores externos que pueden ser origen brecha ver /vendor-risk-management · y para roadmap compliance integral ver /compliance-roadmap.

¿Tienes protocolo data breach documentado en tu clínica?

Reservamos 30min para revisar tu preparación · gap análisis Art 33-34 · proponer plantillas accionables. Sin compromiso comercial · solo conversación útil para tu clínica.

Reservar revisiónVer compliance roadmap

Disclaimer: Información orientativa para clínicas privadas dentales y estéticas en España 2026. No constituye consultoría legal ni de seguridad de la información vinculante. La gestión de brechas de seguridad de datos personales en España se rige por el Reglamento UE 2016/679 (RGPD) particularmente artículos 32 (seguridad del tratamiento) · 33 (notificación brecha autoridad) · 34 (comunicación brecha interesado) · y 83 (sanciones) · la Ley Orgánica 3/2018 (LOPDGDD) · las Guías AEPD aplicables (Guía 1/2020 análisis de riesgos · Guía 2/2020 notificación de quiebras · resoluciones disponibles en aepd.es) · y normativa específica sanitaria que añade obligaciones complementarias. La gestión efectiva de un data breach requiere asesoramiento jurídico y técnico especializado en protección de datos sanitarios · contratado idealmente antes de que ocurra el incidente · no después. Última revisión: mayo 2026.