Herramienta operativa · Art. 33-34 RGPD

Tu brecha,
notificada a tiempo.

El Art. 33 RGPD obliga a notificar a la AEPD en 72 horas desde el conocimiento de una brecha de datos personales. Si no notificas a tiempo, no notificas a la persona afectada cuando procede, o no documentas internamente: el régimen sancionador se activa. El caso AEPD del Asilo Santo (2024) demuestra que incluso entidades sin ánimo de lucro están obligadas y reciben apercibimiento documentado en el historial sancionador.

Evaluar mi brecha (gratis) →

SIN REGISTRO · SIN ALMACENAR TUS DATOS · 100% IN-MEMORY

Tres documentos generados
en un solo flujo.

ÆGIS evalúa la gravedad de tu brecha aplicando el método oficial AEPD (sensibilidad × volumen × mitigaciones) y decide qué documentación tienes que producir. Te genera la que aplique a tu caso.

01

Formulario PSN30 AEPD

Pre-rellenado con todos los datos que pide la AEPD: naturaleza, categorías, número de afectados, consecuencias probables, medidas adoptadas. Listo para subir a Sede Electrónica AEPD.

ART. 33 RGPD · cuando aplique notificación

02

Comunicación a interesados

Modelo de carta a los afectados en lenguaje claro y sencillo conforme Art. 34.2 RGPD. Incluye descripción, consecuencias, medidas adoptadas y recomendaciones para reducir el impacto.

ART. 34 RGPD · solo si hay alto riesgo

03

Registro interno

Documento Art. 33.5 RGPD con hechos, efectos, evaluación de riesgo y medidas correctoras. Obligatorio siempre, incluso si la brecha no requiere notificación a AEPD.

ART. 33.5 RGPD · siempre obligatorio

El reloj de las 72 horas

El plazo de notificación empieza cuando conoces la brecha, no cuando ocurre.

Art. 33.1 RGPD: "sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella". Si notificas después de 72h, debes justificar motivadamente el retraso. La AEPD analiza la justificación caso por caso.

Caso documentado: Asilo de Ancianos Santo (2024). Brecha de seguridad en sistema de gestión con datos de salud Art. 9. La entidad tuvo conocimiento pero NO notificó en 72h. Procedimiento sancionador → apercibimiento (sin multa por condición sin ánimo de lucro) + medidas correctoras obligatorias + registro público de la infracción. Una próxima incidencia agravaría la sanción.

Sobre esta herramienta

ÆGIS no procesa ni almacena los datos que introduzcas. La evaluación es in-memory: rellenas el formulario, se calcula el riesgo y se genera la documentación, y nada queda en nuestros servidores. Los documentos generados son plantillas base que tu DPO o counsel debe revisar antes de presentar oficialmente.