Noticias

Básicos para la notificación de brechas de seguridad en el sector asegurador: DORA & RGPD

02 julio 2025

En los últimos meses se han publicado numerosas noticias sobre brechas de seguridad que han afectado, entre otros, al sector asegurador. A estas alturas, ante un incidente de seguridad, estamos acostumbrados a pensar en el Reglamento General de Protección de Datos (RGPD), sin embargo, desde principios de año el Reglamento (UE) 2022/2554 (DORA) impone nuevas obligaciones a este respecto. Estas obligaciones, aunque parecidas, son complementarias y ambas plantean caminos paralelos con distintos ritmos.

A continuación esbozamos y simplificamos las principales preguntas que una aseguradora debe hacerse ante un incidente bajo ambas normas.

Se ha producido una brecha de seguridad?

La primera pregunta que se debe responder es si un suceso supone una brecha / incidente / violación de seguridad tanto bajo la DORA como bajo el RGPD:

  • RGPD: el RGPD define una “violación de la seguridad de los datos personales”, de forma amplia, en concreto como: “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

El elemento fundamental es que la brecha o incidente de seguridad afecte a datos personales. No hablamos de brecha de datos personales bajo el RGPD cuando:

  • El incidente no afecte a datos personales o a su tratamiento por un responsable o un encargado.
  • El incidente ocurra en tratamientos llevados a cabo por una persona física en el ámbito doméstico.

En concreto, siguiendo la terminología de las numerosas guías y directrices al respecto, podemos hablar de:

  • Brechas de confidencialidad: revelación no autorizada o accidental de los datos personales, o su acceso.
  • Brechas de disponibilidad: pérdida de acceso accidental o no autorizada a los datos personales, o su destrucción.
  • Brechas de integridad: una alteración no autorizada o accidental de los datos personales.
  • DORA: en el marco de DORA se habla de “incidente relacionado con las TIC”. En concreto, se define como: “un único suceso o una serie de sucesos interrelacionados no previstos por la entidad financiera que pone en peligro la seguridad de las redes y sistemas de información y tiene repercusiones negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos o en los servicios prestados por la entidad financiera”.

¿Cuál es su gravedad? ¿Qué riesgo genera el incidente? ¿Debe notificarse?

Constatado (y documentado) qué ha ocurrido, se debe valorar su importancia o gravedad, entre otras cosas, para determinar si debe notificarse. De nuevo, ambas normas plantean criterios independientes (si bien pueden ser complementarios):

  • RGPD: el elemento clave bajo el RGPD es el “riesgo”. El riesgo que genera un incidente determina directamente si se debe notificar el incidente a la autoridad de protección de datos y a los afectados. En concreto:
    • La notificación a la autoridad es la regla general, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
    • La notificación a los afectados (directa o indirecta en los casos en los que la comunicación individual sea desproporcionada) deviene obligatoria cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas. Esta comunicación no será necesaria cuando:
      • Se han adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; o
      • Se han tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que el alto riesgo se concretice.
  • DORA: en el marco DORA, el elemento clave es la “gravedad”. No hay que notificar todo incidente relacionado con las TIC, sino solo los graves (y, voluntariamente, las ciberamenazas importantes). Se entiende por “graves” aquellos con graves repercusiones negativas en las redes y sistemas de información que sustentan funciones esenciales o importantes de la entidad financieras.

Debemos recordar que las funciones esenciales o importantes son aquellas “cuya perturbación afectaría significativamente al rendimiento financiero de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en materia de servicios financieros”.

Cuando tenga consecuencias para los intereses financieros de los clientes, se les informará sin demora indebida y se les comunicarán todas las medidas que se hayan adoptado para mitigar sus efectos adversos.

¿Cómo “medir” el riesgo o la gravedad?

  • RGPD: el RGPD no señala reglas cuantitativas (a diferencia del ecosistema DORA) para “medir” el riesgo de una brecha. Dicho esto, las autoridades de protección de datos han ido facilitando herramientas para ello:
    • La Agencia Española de Protección de Datos ha publicado, además de su Guía para la notificación de brechas de datos personales (la primera versión incluía hasta una fórmula para la toma de decisiones), las herramientas Asesora Brecha y Comunica-Brecha RGPD.
      • En general, señala que las brechas que afecten a la confidencialidad de datos de categorías especiales, condenas e infracciones penales, datos de medios de pago y/o datos de credenciales de acceso e identificación (usuario/contraseña) o a un número de afectados muy elevado de interesados; deben comunicarse a los afectados.
    • Los Criterios de ENISA para asesorar la severidad de la brecha.
    • Las directrices (guías y ejemplos) del Comité Europeo de Protección de Datos.
    • DORA: el artículo 18 de la DORA establece que los incidentes (incluyendo los recurrentes) se clasificarán en función de los siguientes criterios:
      • Número y/o pertinencia de los clientes o las contrapartes financieras afectados y, cuando proceda, la cantidad o el número de transacciones afectadas por el incidente relacionado con las TIC, y si dicho incidente ha repercutido en la reputación;
      • Duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio;
      • Extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos Estados miembros;
      • Pérdidas de datos que el incidente relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos;
      • Carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera; y
      • Las consecuencias económicas, en particular los costes y las pérdidas directos e indirectos, del incidente relacionado con las TIC, tanto en términos absolutos como relativos.

A través del Reglamento Delegado (UE) 2024/1772, se establecen umbrales de importancia relativa por cada criterio y se prevén reglas tangibles para la calificación de un incidente como grave.

¿Cuándo lo tengo que notificar?

  • RGPD:
    • A la AEPD (España): sin dilación indebida y, a más tardar, en 72 horas después de que se haya tenido constancia de la brecha. La notificación, cuando no se disponga de toda la información, se puede hacer escalonada (con una primera notificación en 72 horas a complementar en los siguientes 30 días).
    • A los afectados: no hay un plazo fijo, si bien debe realizarse lo antes posible y “sin dilación indebida”.
  • DORA: en línea con el Reglamento Delegado (UE) 2025/301 y el artículo 19 dela DORA:
    • Informe inicial: lo antes posible, pero en cualquier caso, en un plazo de 4 horas a partir de la clasificación del incidente como grave y a más tardar 24 horas después del momento en que la entidad financiera haya tenido conocimiento de dicho incidente.
    • Informe intermedio: a más tardar en un plazo de 72 horas a partir de la presentación de la notificación inicial, incluso cuando la situación o la gestión del incidente no hayan cambiado considerablemente y, en cualquier caso, cuando se hayan recuperado las actividades regulares. Cuando sea necesario, podrán emitirse notificaciones actualizadas con posterioridad.
    • Informe final: a más tardar un mes después de la presentación del informe intermedio o, cuando proceda, del último informe intermedio actualizado.

Cuando se produzca un incidente grave relacionado con las TIC y tenga consecuencias para los intereses financieros de los clientes, se debe informar sin demora indebida, tan pronto como tengan conocimiento del mismo, a los clientes y se les comunicarán todas las medidas que se hayan adoptado para mitigar sus efectos adversos.

¿Por último, a qué autoridad notifico una brecha de seguridad?

En general, dejando al margen incidentes internacionales o transfronterizos, las principales autoridades a las que notificar un incidente en el marco asegurador en España son:

  • RGPD: Agencia Española de Protección de Datos.
  • DORA: Dirección General de Seguros y Fondos de Pensiones.

Como se puede observar y pese a que lo señalado no sea más que la punta del iceberg de la gestión de un incidente, ante una brecha hay que pensar en ambos regímenes legales y los tiempos de cada uno, gestionando ambos de forma paralela y coherente, sin descartar que cada autoridad vuelva con preguntas al respecto.


Escrito por Gonzalo F. Gállego y Santiago de Ampuero.

Temas relacionados

related_tags_load_more

Países relacionados

related_tags_load_more

Palabras claves relacionadas

related_tags_load_more

Búsqueda

arrow
arrow

Regístrese para recibir contenido personalizado ¡y más!

Regístrese
close
See benefits
Regístrese