Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Recuperación de Datos y RGPD: Lo que Toda Empresa Debe Saber

Resumen del artículo

Cuando una empresa pierde datos que contienen información personal, la recuperación no es solo técnica: también tiene implicaciones legales bajo el RGPD. Te explicamos qué debes hacer y cómo cumplir.

Empresa 24/06/2025 11 min lectura Víctor Casas
Compartir:

Cuando una empresa pierde acceso a datos personales —por fallo de disco, ransomware o borrado accidental— no solo enfrenta un problema técnico: el RGPD impone obligaciones legales concretas con plazos estrictos. Notificar a la AEPD en 72 horas, firmar un contrato con la empresa de recuperación y documentar toda la cadena de custodia no son opciones: son requisitos legales cuyo incumplimiento puede derivar en multas de hasta el 4% de la facturación anual.

72 horas
Plazo máximo para notificar a la AEPD desde que se tiene constancia de la brecha
4% / 20M€
Multa máxima por violación grave del RGPD (la mayor de las dos cifras)
Art. 28
Contrato obligatorio con cualquier encargado del tratamiento que acceda a datos personales
Art. 33
Notificación a AEPD obligatoria si existe riesgo para los derechos de los afectados

El Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) no solo regula cómo se recopilan y usan los datos personales: también establece qué debe hacer una empresa cuando pierde acceso a esos datos. Da igual si la causa es un fallo de hardware, un ciberataque o un error humano. Si los datos afectados incluyen información personal de clientes, empleados o terceros, entran en juego obligaciones legales concretas:

  • Notificación a la AEPD en 72 horas si la pérdida supone un riesgo para los derechos y libertades de los afectados (artículo 33 RGPD).
  • Notificación a los propios afectados si el riesgo es alto (artículo 34 RGPD): por ejemplo, si se han expuesto datos de salud, bancarios o de menores.
  • Documentación interna del incidente en el registro de violaciones de seguridad, independientemente de si se notifica a la AEPD o no (artículo 33.5 RGPD).
  • Evaluación del riesgo: la empresa debe analizar la naturaleza de los datos, el número de afectados y las consecuencias probables antes de decidir si el incidente requiere notificación.

En la práctica, muchas empresas no son conscientes de estas obligaciones hasta que ya han pasado las 72 horas. La presión de recuperar los datos lo antes posible lleva a descuidar el cumplimiento legal, lo que puede convertir un problema técnico en un problema legal añadido.

Artículo 33 RGPD: El responsable del tratamiento notificará la violación de datos personales a la autoridad de control competente (la AEPD en España) sin dilación indebida y, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas. Las multas por incumplimiento pueden alcanzar el 4% de la facturación global anual o 20 millones de euros, la cifra que sea mayor.

¿Cuándo se considera "violación de datos"?

El RGPD define la violación de datos personales como "toda violación de seguridad que ocasione, de forma accidental o ilícita, la destrucción, pérdida, alteración, comunicación no autorizada o acceso a datos personales" (artículo 4.12). La clave está en que no es necesario que haya habido robo o acceso malintencionado: la mera pérdida o destrucción ya constituye una violación si afecta a datos personales.

Situaciones que entran dentro de esta definición y que habitualmente motivan una recuperación de datos:

  • Fallo de disco duro o SSD con pérdida irreversible de datos personales de clientes, empleados o pacientes.
  • Ataque de ransomware que cifra bases de datos o documentos con información personal.
  • Borrado accidental de bases de datos, ficheros de recursos humanos o historiales de clientes.
  • Robo de dispositivo (portátil, disco externo, USB) que contiene datos personales sin cifrar.
  • Fallo en sistema NAS o RAID que hace inaccesibles los datos de negocio.
  • Corrupción de base de datos por fallo de alimentación o error de software.

En todos estos casos, el primer paso —antes incluso de iniciar la recuperación técnica— debe ser valorar si el incidente constituye una brecha notificable y documentar esa valoración.

La empresa de recuperación como "encargada del tratamiento"

Este es el punto que más empresas pasan por alto. Cuando envías un dispositivo con datos personales a un laboratorio de recuperación, ese laboratorio accede necesariamente a esos datos para realizar su trabajo. Desde el momento en que tiene acceso potencial a datos personales de tus clientes o empleados, se convierte en encargada del tratamiento bajo el artículo 4.8 del RGPD.

Las implicaciones son directas e ineludibles:

  • Contrato de Encargo del Tratamiento obligatorio (artículo 28 RGPD): debe firmarse antes de entregar el dispositivo. Sin él, tanto tú como empresa responsable como el laboratorio estáis incumpliendo el RGPD.
  • Finalidad limitada: el laboratorio solo puede tratar los datos para el fin acordado (la recuperación). No puede copiar, analizar ni transferir los datos para ningún otro propósito.
  • Medidas técnicas y organizativas adecuadas: el laboratorio debe implementar cifrado de los datos durante el proceso, acceso restringido solo al personal necesario, y destrucción segura de cualquier copia temporal creada durante la recuperación.
  • Notificación inmediata de incidentes: si durante el proceso de recuperación se produce cualquier incidente de seguridad, el laboratorio está obligado a notificártelo sin dilación para que puedas cumplir tus propios plazos de notificación a la AEPD.
  • Subcontratación bajo control: si el laboratorio a su vez subcontrata parte del trabajo (por ejemplo, para análisis de platos magnéticos en otro centro), necesita tu autorización y el subcontratista queda igualmente vinculado por las mismas obligaciones.

Atención: Sin Contrato de Encargo del Tratamiento firmado, tanto tú como la empresa de recuperación estáis incumpliendo el RGPD. La AEPD ha sancionado a empresas por no tener estos contratos con sus proveedores de servicios tecnológicos. El contrato no es un trámite burocrático: es la base legal que permite al laboratorio acceder a los datos sin vulnerar la normativa.

Cadena de custodia: por qué es crítica

La cadena de custodia es el registro documentado de quién ha tenido acceso al dispositivo y a los datos en cada momento, desde que se detecta el incidente hasta que los datos se recuperan y las copias temporales se destruyen. No es solo una buena práctica: tiene implicaciones legales directas.

¿Para qué sirve la cadena de custodia?

  • Demostrar diligencia ante la AEPD: si la autoridad de control investiga el incidente, la cadena de custodia es la evidencia de que la empresa tomó medidas proporcionadas y documentó el proceso correctamente.
  • Validez de los datos como evidencia legal: si los datos recuperados van a usarse en un procedimiento judicial (por ejemplo, para demostrar un fraude interno), la cadena de custodia garantiza que no han sido manipulados.
  • Defensa ante reclamaciones de afectados: si un empleado o cliente reclama por la pérdida de sus datos, la documentación demuestra qué datos se vieron afectados, durante cuánto tiempo y qué medidas se tomaron.

¿Qué debe incluir la documentación?

Una empresa de recuperación seria debe proporcionar como mínimo:

  • Albarán de recepción firmado: número de serie del dispositivo, estado en el momento de la recepción, fecha y hora de entrada.
  • Informe técnico detallado: diagnóstico, metodología de recuperación empleada, listado de archivos recuperados y su estado, y registro de los técnicos que han intervenido.
  • Certificado de destrucción de copias temporales: confirmación documentada de que cualquier copia intermedia creada durante el proceso ha sido destruida de forma segura tras la entrega al cliente.
  • Registro de accesos: qué personas han tenido acceso a los datos durante el proceso y en qué momento.

Plazos y obligaciones clave

Obligación Plazo Base legal Responsable
Notificación a la AEPD si hay riesgo 72 horas Art. 33 RGPD Responsable del tratamiento (tu empresa)
Notificación a los afectados si el riesgo es alto Sin dilación indebida Art. 34 RGPD Responsable del tratamiento
Documentación interna del incidente Inmediata Art. 33.5 RGPD Responsable del tratamiento
Firma del Contrato de Encargo del Tratamiento Antes de entregar el dispositivo Art. 28 RGPD Responsable + Encargado (laboratorio)
Notificación de incidentes por parte del encargado Sin dilación indebida Art. 28.3.f RGPD Laboratorio de recuperación
Destrucción de copias temporales tras recuperación Tras entrega al cliente Art. 28.3.g RGPD Laboratorio de recuperación
Consulta previa a la AEPD si riesgo muy alto Antes del tratamiento Art. 36 RGPD Responsable del tratamiento

Checklist de cumplimiento RGPD para recuperación de datos

Ante una pérdida de datos que afecte a información personal, sigue estos pasos en orden:

  1. Detén el uso del dispositivo afectado inmediatamente. Cualquier escritura puede sobrescribir los datos y reducir las posibilidades de recuperación.
  2. Evalúa si hay datos personales afectados. Identifica qué categorías de datos contiene el dispositivo (datos de clientes, empleados, datos de salud, datos bancarios…) y cuántas personas están afectadas.
  3. Documenta el incidente en el registro interno de violaciones de seguridad. Fecha y hora de detección, causa probable, datos afectados y medidas inmediatas tomadas. Esta documentación es obligatoria aunque no se notifique a la AEPD.
  4. Evalúa el riesgo para los afectados. Determina si la pérdida supone un riesgo para sus derechos y libertades. Si hay dudas, consulta con tu DPO o asesor legal. En caso de riesgo, prepara la notificación a la AEPD.
  5. Notifica a la AEPD si procede, dentro de las 72 horas. Usa el formulario de notificación de brechas del portal de la AEPD. Si no tienes toda la información, notifica con los datos disponibles e indica que la investigación sigue en curso.
  6. Firma el Contrato de Encargo del Tratamiento con el laboratorio ANTES de entregar el dispositivo. Verifica que el contrato incluye los requisitos del artículo 28 RGPD: finalidad, medidas de seguridad, subcontratación, destrucción de datos y obligación de notificación.
  7. Solicita la cadena de custodia documentada. Pide al laboratorio albarán de recepción, informe técnico del proceso y certificado de destrucción de copias al finalizar.
  8. Si el riesgo para los afectados es alto, notifícales directamente. La comunicación debe describir de forma clara qué ocurrió, qué datos se vieron afectados y qué medidas se están tomando. Incluye los datos de contacto del DPO si existe.

Lo que RecuperaTusDatos ofrece para el cumplimiento RGPD

Somos conscientes de que, para una empresa, contratar un servicio de recuperación de datos no es solo una decisión técnica: es una decisión legal. Por eso hemos diseñado nuestro servicio para que el cumplimiento del RGPD sea una parte integral del proceso, no un trámite adicional:

  • Contrato de Encargo del Tratamiento incluido en el servicio: Proporcionamos el contrato estándar ajustado al artículo 28 RGPD antes de recibir ningún dispositivo. Si tu empresa tiene un modelo propio, lo revisamos y firmamos.
  • Cadena de custodia documentada: Cada dispositivo entra con un albarán numerado. Registramos qué técnico accede, en qué momento y con qué propósito. Toda la documentación está disponible para auditoría.
  • Certificado de destrucción de copias temporales: Una vez entregados los datos recuperados, destruimos cualquier copia intermedia de forma segura (sobreescritura con estándar DoD 5220.22-M) y emitimos certificado de destrucción.
  • Instalaciones con acceso restringido y cifrado: Las salas de trabajo están protegidas con control de acceso. Los datos en tránsito y en reposo se cifran con AES-256. Solo el técnico asignado accede al dispositivo.
  • Informe técnico válido para notificación a la AEPD: El informe que entregamos con cada servicio incluye la información que la AEPD solicita en su formulario de notificación de brechas: causa de la pérdida, datos afectados, medidas aplicadas y resultado.
  • Notificación inmediata de incidentes: En el improbable caso de que se produzca cualquier incidente durante el proceso de recuperación, te notificamos de inmediato para que puedas cumplir tus propios plazos legales.

Si tu empresa necesita recuperar datos y quiere hacerlo con plena seguridad legal, solicita diagnóstico gratuito. Te asesoramos sobre los pasos RGPD en paralelo al proceso técnico.

Preguntas frecuentes sobre RGPD y recuperación de datos

Depende del riesgo que la pérdida suponga para los afectados. Si el disco contenía datos personales y existe riesgo para los derechos y libertades de esas personas (datos de salud, bancarios, menores, o un volumen grande de datos de clientes), debes notificar a la AEPD en un plazo máximo de 72 horas desde que tienes constancia del incidente. Si el riesgo es bajo o inexistente (por ejemplo, el disco estaba cifrado), no es obligatoria la notificación, pero sí debes documentar el incidente internamente y justificar por qué no se notificó.

La notificación tardía es en sí misma una infracción del artículo 33 del RGPD. La AEPD puede imponer una sanción de hasta 10 millones de euros o el 2% de la facturación global anual por este incumplimiento, independientemente de la sanción que pueda corresponder por la propia brecha de datos. Sin embargo, el RGPD permite notificar "por fases": si no tienes toda la información en las primeras 72 horas, notifica con lo que tengas y completa la información después, indicando que la investigación sigue en curso. Es mejor una notificación incompleta a tiempo que una completa fuera de plazo.

El artículo 28.3 del RGPD establece que el contrato debe especificar: el objeto y la duración del tratamiento, la naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, y las obligaciones y derechos del responsable. Además, debe incluir expresamente que el encargado (el laboratorio) solo trata los datos según instrucciones del responsable, garantiza la confidencialidad del personal, implementa medidas de seguridad adecuadas, no subcontrata sin autorización previa, asiste al responsable en el ejercicio de derechos de los interesados, devuelve o destruye los datos al finalizar el servicio, y pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento.

Sí. Los datos de empleados son datos personales a todos los efectos del RGPD. La pérdida de nóminas, expedientes de personal, datos de salud laboral o evaluaciones de desempeño entra dentro del ámbito de aplicación del reglamento de la misma forma que los datos de clientes. Incluso los datos de un único empleado pueden requerir notificación si su exposición supone un riesgo significativo para esa persona, por ejemplo si incluyen información sobre bajas médicas, situación familiar o datos bancarios.

En general, no. Las directrices del Comité Europeo de Protección de Datos (CEPD) indican que si los datos estaban cifrados con un algoritmo robusto y la clave no se ha visto comprometida, la probabilidad de que la pérdida suponga un riesgo real para los afectados es muy baja. En ese caso, no sería necesaria la notificación a la AEPD ni a los interesados. Sin embargo, sigue siendo obligatorio documentar el incidente internamente y la valoración que te llevó a concluir que no era notificable. Esta documentación es tu defensa si la AEPD investiga el caso posteriormente.

La designación de un DPO es obligatoria para determinadas organizaciones: autoridades públicas, empresas cuya actividad principal consiste en el tratamiento a gran escala de datos sensibles, o empresas que realizan seguimiento sistemático a gran escala de personas. Para la mayoría de PYMEs, no es obligatorio, aunque sí muy recomendable. Ante una brecha de datos, el DPO actúa como punto de contacto con la AEPD, asesora sobre la notificación y documenta la respuesta al incidente. Si no tienes DPO, estas funciones deben recaer en el responsable de la empresa o en un asesor legal externo especializado en protección de datos.

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Víctor Casas

Fundador de RecuperaTusDatos — RecuperaTusDatos

Fundador y CEO de RecuperaTusDatos. Más de 12 años dirigiendo el laboratorio líder en recuperación de datos en España. Licenciado en Ingeniería Informática. Experto en estrategia de recuperación y gestión de casos complejos.

ISO 9001 ISO 27001 PC-3000 UDMA
Publicado: 24/06/2025 11 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito