Aviso de Notificación de Brecha de Datos Personales

El archivo .docx se genera en tu navegador con html-docx-js, sin enviarse a nuestros servidores. Abrelo en Word, Google Docs o LibreOffice y reemplaza los campos resaltados en amarillo con tus datos.

NOTIFICACIÓN DE BRECHA DE SEGURIDAD DE DATOS PERSONALES

SEÑORES
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS
Presente.

ASUNTO: Notificación de incidente de seguridad conforme al artículo correspondiente de la Ley 29733 y su reglamento (D.S. 016-2024-JUS)

Yo, [NOMBRE_REPRESENTANTE], identificado con [TIPO_DOC] [NUMERO_DOC], en mi calidad de representante de [NOMBRE_RESPONSABLE], con RUC [RUC_RESPONSABLE] y domicilio en [DIRECCION_RESPONSABLE], en condición de responsable del tratamiento, comunico el siguiente incidente de seguridad.

PRIMERO. FECHA DEL INCIDENTE
El incidente fue detectado el [FECHA_DETECCION] a las [HORA_DETECCION]. La presente notificación se realiza dentro de las 48 horas de conocido, conforme al plazo del reglamento de la Ley 29733.

SEGUNDO. NATURALEZA DEL INCIDENTE
Se trata de [DESCRIPCION_INCIDENTE], que afectó el banco de datos denominado [NOMBRE_BANCO_DATOS].

TERCERO. DATOS AFECTADOS
Los datos comprometidos son [TIPO_DATOS_AFECTADOS], correspondientes a aproximadamente [NUMERO_TITULARES] titulares.

CUARTO. POSIBLES CONSECUENCIAS
Las posibles consecuencias para los titulares son [CONSECUENCIAS_PROBABLES].

QUINTO. MEDIDAS ADOPTADAS
Se han implementado las siguientes medidas de contención y mitigación: [MEDIDAS_ADOPTADAS].

SEXTO. COMUNICACIÓN A LOS TITULARES
Los titulares afectados serán informados dentro de las 48 horas mediante [MEDIO_COMUNICACION], indicándoles las medidas que pueden tomar para proteger sus derechos.

Quedo a disposición para ampliar la información requerida.

[CIUDAD], [FECHA].


_______________________
[NOMBRE_REPRESENTANTE]
[TIPO_DOC] [NUMERO_DOC]
Responsable: [NOMBRE_RESPONSABLE]

El Aviso de Notificación de Brecha de Datos Personales es el documento formal con el que el responsable de una base de datos comunica un incidente de seguridad que afectó datos personales, tanto a la Autoridad Nacional de Protección de Datos Personales (ANPD) como, cuando corresponde, a las personas afectadas. No es opcional, es una obligación legal con plazos cortos. Su finalidad es transparentar lo ocurrido, describir el incidente, las medidas adoptadas y permitir que los titulares se protejan de un posible uso indebido de su información.

Quién lo presenta y cuándo conviene usarlo

Lo presenta el responsable del tratamiento (la empresa o entidad dueña del banco de datos) ante la ANPD, y el encargado debe avisar al responsable apenas detecta el incidente. Se usa cuando ocurre una fuga, robo, acceso no autorizado, pérdida o destrucción de datos personales, por ejemplo un hackeo, un ransomware, el extravío de un equipo con información o un correo masivo enviado por error con datos expuestos. Conviene tenerlo preparado como parte de tu plan de respuesta a incidentes.

Base legal

La obligación de notificar incidentes de seguridad está establecida en la Ley 29733 y, con detalle, en su Reglamento aprobado por el Decreto Supremo 016-2024-JUS, vigente desde el 31 de marzo de 2025, que fija un plazo máximo de 48 horas desde que el responsable o el encargado toma conocimiento del incidente para notificarlo a la ANPD. El derecho de fondo proviene del artículo 2 inciso 6 de la Constitución. Si el incidente tuvo origen en un delito informático, también puede activarse la Ley 30096. La ANPD es la autoridad competente para recibir el aviso y, de ser el caso, sancionar.

Qué datos y documentos necesitas

• Identificación del responsable y de su oficial o área de protección de datos.
• Fecha y hora en que se conoció el incidente y cuándo se estima que ocurrió.
• Descripción del incidente (qué pasó, cómo y por qué).
• Categorías y volumen aproximado de datos y de titulares afectados.
• Posibles consecuencias para los titulares y las medidas adoptadas para mitigarlas.
• Medidas correctivas y de seguridad implementadas para evitar su repetición.

Cómo presentarlo paso a paso

1. Activa tu plan de respuesta apenas detectas el incidente y registra la hora exacta de conocimiento.
2. Contén el incidente y evalúa qué datos y cuántos titulares fueron afectados.
3. Completa el aviso con la descripción, las consecuencias y las medidas adoptadas.
4. Presenta la notificación a la ANPD dentro de las 48 horas a través de la plataforma del Estado peruano.
5. Comunica a los titulares afectados cuando el incidente entrañe un alto riesgo para sus derechos.
6. Documenta todo el proceso, ya que la ANPD puede requerir el expediente del incidente.

Errores comunes a evitar

• Dejar pasar el plazo de 48 horas por intentar resolver primero y avisar después.
• Minimizar el incidente y no comunicar a los titulares cuando había alto riesgo.
• No documentar la hora de conocimiento, dato clave para acreditar que notificaste a tiempo.
• Omitir las medidas correctivas, que la autoridad valora para graduar una eventual sanción.

Preguntas frecuentes

¿En cuánto tiempo debo notificar una brecha?

Como máximo dentro de las 48 horas posteriores a que el responsable o el encargado toma conocimiento del incidente, según el Reglamento del D.S. 016-2024-JUS. El plazo corre desde el conocimiento, no desde la solución del problema.

¿Siempre tengo que avisar a las personas afectadas?

No siempre. La notificación a la ANPD es la regla; la comunicación a los titulares procede cuando el incidente implica un alto riesgo para sus derechos y libertades, conforme al Reglamento del D.S. 016-2024-JUS. Ante la duda, comunicar protege mejor a los titulares.

¿Qué pasa si no notifico el incidente?

La omisión es una infracción sancionable por la ANPD bajo la Ley 29733 y su Reglamento, con multas administrativas que pueden ser elevadas según la gravedad. Además, no notificar agrava la responsabilidad si los titulares sufren un perjuicio.

¿Quién notifica cuando el incidente ocurre en un proveedor?

El encargado debe avisar de inmediato al responsable, y es el responsable quien notifica a la ANPD. Por eso el acuerdo de encargo de tratamiento debe fijar este flujo de aviso para cumplir el plazo de 48 horas.