Data breach en la cadena de suministro: la matriz esencial para saber quién notifica, qué y cuándo
Los ciberincidentes ya no se limitan a los sistemas propios: la verdadera amenaza muchas veces se esconde en los proveedores.
Un fallo en un subencargado de tratamiento puede desencadenar un efecto dominó que obligue a notificar en varios países, a diferentes autoridades y bajo plazos extremadamente breves.
En estos escenarios, disponer de una matriz de notificación clara —quién debe informar, sobre qué y en qué momento— se convierte en una cuestión de supervivencia jurídica.
Cuando el incidente no es tuyo, pero la responsabilidad sí
Ejemplo 1: proveedor de nóminas comprometido.
Una empresa española utiliza un software externo para gestionar las nóminas de sus empleados.
El proveedor sufre un ataque de ransomware y los datos salariales y bancarios quedan expuestos. Aunque el incidente se produce en el servidor del proveedor, la empresa cliente sigue siendo responsable del tratamiento y debe valorar si la brecha implica un riesgo para los empleados.
Si confirma dicho riesgo, está obligada a notificar a la AEPD en 72 horas y, además, informar a los trabajadores afectados “sin dilación indebida”.
Si espera a que el proveedor termine su investigación interna, podría incumplir el plazo legal.
La matriz práctica: quién notifica qué y cuándo
Una tabla operativa ayuda a visualizar las responsabilidades y plazos críticos en un entorno multi-país o con múltiples proveedores:
| Escenario | Actor principal | Obligación de notificar | Destinatario | Plazo | Evidencia/documentación |
| Brecha en proveedor de hosting europeo | Proveedor (encargado) | Comunicar al cliente (responsable) | Empresa cliente | Sin dilación indebida | Email o informe técnico fechado |
| Brecha que afecta datos de clientes en Francia y España | Empresa cliente (responsable) | Notificar a la autoridad líder (ej. CNIL) y, si procede, a la AEPD como autoridad interesada | Autoridades competentes | 72h desde el conocimiento efectivo | Copia de notificación, justificante de envío |
| Brecha que puede causar perjuicio económico a usuarios | Empresa cliente (responsable) | Notificar a los interesados | Clientes afectados | Sin dilación indebida | Modelo de correo de aviso, registro de envío |
| Subencargado fuera de la UE comprometido (ej. proveedor en India) | Proveedor europeo (encargado) | Comunicar al responsable europeo | Responsable | Inmediato | Registro interno de notificación |
Ejemplo 2: proveedor estadounidense de atención al cliente.
Una cadena hotelera europea detecta que su proveedor de call center en EE. UU. perdió grabaciones con datos de clientes.
La matriz de notificación permite identificar:
- Quién notifica: el encargado (proveedor) comunica al responsable (cadena hotelera).
- Qué se notifica: naturaleza del incidente, tipo de datos (grabaciones con nombres y números de reserva), alcance.
- Cuándo: dentro de las 24 horas siguientes, para que el responsable evalúe y, en su caso, notifique a la autoridad dentro del plazo de 72 horas.
Cómo documentar la diligencia: plantillas y cronogramas
Una respuesta adecuada no se improvisa.
Las organizaciones más preparadas conservan evidencias cronológicas de su actuación:
- Plantilla de evaluación inicial: descripción del incidente, tipo de datos afectados, medidas adoptadas.
- Timeline real del suceso, por ejemplo:
- Día 1, 09:00: el proveedor detecta actividad anómala.
- Día 1, 15:00: comunica al responsable.
- Día 2, 10:00: el comité de crisis valora impacto.
- Día 3, 08:00: se notifica a la autoridad.
- Registro de decisiones: cuándo se consideró que existía “conocimiento efectivo” del incidente (clave para justificar el cumplimiento de las 72 horas).
- Modelo de notificación RGPD: formulario tipo con los campos exigidos por el art. 33 RGPD (naturaleza, consecuencias, contacto DPO, medidas correctoras).
Ejemplo 3: filtración controlada sin riesgo real.
Un proveedor detecta que un archivo interno se compartió por error con otro cliente, pero se eliminó antes de ser abierto.
En este caso, el responsable documenta la evaluación y decide no notificar por ausencia de riesgo significativo.
Si la autoridad pregunta, la empresa puede mostrar su análisis, fecha de detección y decisión razonada.
¿Qué ocurre si el proveedor no coopera o retrasa la información?
El responsable del tratamiento (art. 4.7 RGPD) no queda eximido de su deber de notificar por el mero hecho de que la brecha se haya producido en un proveedor o subencargado.
El artículo 33.2 RGPD obliga al encargado (proveedor) a informar “sin dilación indebida” al responsable.
Pero si éste incumple, el responsable debe actuar con la información disponible y dejar constancia de los intentos de contacto.
Una notificación incompleta, pero dentro del plazo, es jurídicamente más segura que una notificación tardía.
Fundamento normativo y sanciones
- Artículos 28.3.f y 33 RGPD: deber de cooperación y notificación de incidentes.
- Artículos 82, 83 Y 84 RGPD: responsabilidad y régimen sancionador (hasta 10 o 20 millones € o el 2%/4% del volumen de negocio mundial).
- Incumplir la cooperación (encargado) → infracción grave (art. 83.4.a RGPD).
- No notificar en plazo (responsable) → infracción muy grave (art. 83.5.a RGPD).
Recomendaciones para empresas con operaciones internacionales
- Fijar plazos contractuales más breves: exigir comunicación de incidentes en 24 horas.
- Tener identificadas las autoridades competentes por país y sus formularios.
- Uniformar plantillas de notificación y adaptarlas a distintos idiomas.
- Coordinar respuesta global a través del DPO y un comité de crisis.
- Simular incidentes para comprobar coordinación entre matriz, filiales y proveedores.
Transparencia, rapidez y evidencia
En la gestión de un data breach con proveedores en cadena, el tiempo y la trazabilidad valen tanto como la tecnología.
Las organizaciones que cuentan con una matriz clara de “quién notifica, qué y cuándo” no sólo cumplen el RGPD: demuestran control, previsión y fiabilidad ante clientes, socios y autoridades.
En el ámbito del cumplimiento digital, esa combinación —transparencia, rapidez y evidencia— se ha convertido en el nuevo estándar de confianza empresarial.
