Las empresas deben notificar a la Agencia Española de Protección de Datos (AEPD) cualquier brecha de datos personales en un plazo máximo de 72 horas desde el incidente. Esta obligación es parte de la responsabilidad que tienen los autónomos y pequeños negocios para proteger la información de sus clientes, empleados y proveedores.
En declaraciones de Ana Vidaor Maristany, abogada del área TMT de AGM Abogados, se destaca que no es necesario un ciberataque sofisticado para que surjan estas responsabilidades. Errores comunes, como enviar un correo al destinatario equivocado o perder un dispositivo con información sensible, pueden activar las obligaciones del Reglamento General de Protección de Datos (RGPD).
Incluso si una empresa considera que un incidente no representa un riesgo, la normativa exige documentar internamente la brecha y el análisis realizado, lo que puede ser crucial en caso de una inspección. La falta de cumplimiento puede resultar en sanciones y tener graves consecuencias legales para los responsables del tratamiento de datos.