Según la Cyber Security Breaches Survey 2025(ventana nueva), más del 93 % de las empresas y el 95 % de las organizaciones benéficas fueron objetivo de ataques de suplantación en 2025, y muchas organizaciones se vieron afectadas varias veces.

A nivel global, los tipos de datos que más se filtran son nombres y direcciones de correo electrónico (en 9 de cada 10 vulneraciones), seguidos de números de teléfono, contraseñas y datos sensibles, según la investigación realizada para nuestro Data Breach Observatory.

Las pequeñas empresas son especialmente vulnerables: 1 de cada 4 sufre un hackeo a pesar de sus medidas de ciberseguridad.


A la luz de todo esto, las empresas y los profesionales de la seguridad deben estar preparados y ser conscientes de sus obligaciones de notificación para mantener operaciones seguras y conformes.

En el Reino Unido, notificar vulneraciones de datos personales a la Information Commissioner’s Office (ICO) es más que un deber legal; es un procedimiento clave que moldea la confianza pública, protege a las personas e influye en el resultado de una vulneración de datos para las organizaciones afectadas.

En esta guía, exploraremos qué se considera una vulneración notificable, cómo se regulan las vulneraciones en el Reino Unido y los pasos prácticos (basados en experiencia real) para ayudar a las empresas a abordar la notificación de frente.

¿Qué se considera una vulneración de datos en el Reino Unido?

Cuándo y cómo notificar una vulneración de datos al ICO

¿Cuáles son los desafíos comunes en la notificación de vulneraciones de datos?

¿Cuáles son las mejores prácticas para prepararse para la notificación de vulneraciones?

Cómo Proton Pass for Business puede reducir tus riesgos de vulneración

Mantén tu empresa preparada

¿Qué se considera una vulneración de datos en el Reino Unido?

Una vulneración de datos en el Reino Unido se refiere a cualquier incidente de seguridad que dé lugar a la pérdida, destrucción, alteración, divulgación no autorizada o acceso accidental o ilícito a datos. Según la guía del ICO, una vulneración se produce cuando los datos se han almacenado mal o se han puesto en riesgo, ya sea por error humano, fallos técnicos o actos delictivos.

Algunas de las situaciones que pueden dar lugar a vulneraciones de datos incluyen:

  • Un correo electrónico que contiene información sensible enviado al destinatario equivocado
  • Pérdida o robo de un dispositivo que almacena datos personales sin cifrar
  • Eliminación accidental o corrupción de archivos importantes
  • Infecciones de malware(ventana nueva) que permiten a personas externas acceder a registros de empleados
  • Archivos físicos perdidos o dejados en zonas públicas

Estas situaciones son un recordatorio importante de que las vulneraciones no se limitan a incidentes de hackeo. En la práctica, errores simples, como una factura extraviada o una carta dirigida incorrectamente, pueden ser igual de graves a ojos de la ley.

Es decir, el impacto no se limita a grandes eventos. Si surge algún riesgo real para los derechos o libertades de las personas —como robo de identidad, fraude o daño reputacional—, es probable que estés ante una vulneración notificable. En otras palabras, incluso un pequeño descuido puede tener un gran impacto.

Cuándo y cómo notificar una vulneración de datos al ICO

Según los requisitos del ICO(ventana nueva), una vulneración de datos personales que probablemente suponga un riesgo para los derechos y libertades de las personas debe notificarse en un plazo de 72 horas desde que se tiene conocimiento de ella. No hacerlo puede dar lugar a multas de hasta el 2 % del volumen de negocio mundial por no informar. Además, la multa máxima por una vulneración de datos en el Reino Unido es del 4 %.

Para las organizaciones que actúan como proveedores de servicios de confianza en virtud del UK eIDAS(ventana nueva), se aplican normas específicas(ventana nueva): si una vulneración tiene un impacto significativo en los servicios prestados, debe notificarse al ICO en un plazo de 24 horas y se debe informar a los usuarios lo antes posible.

Pero ¿cómo saber si una vulneración alcanza el umbral de notificación? La prueba clave es el riesgo. Pregúntate: ¿podría este incidente causar daño físico, material o inmaterial a las personas? Si la respuesta es «posiblemente», es necesario actuar.

Aquí tienes cómo denunciar una vulneración de datos en el Reino Unido paso a paso:

  1. Identifica y contiene la vulneración rápidamente. Actúa de inmediato para minimizar el daño; por ejemplo, revoca accesos, aísla los sistemas afectados o restablece las credenciales expuestas.
  2. Evalúa el riesgo. ¿Quién se ve afectado y cómo? Considera el tipo y la cantidad de datos personales implicados, lo fácil que resulta identificar a las personas, así como las posibles consecuencias.
  3. Mantén un registro de todo. Aunque decidas no informar, la ley te obliga a mantener un registro de las vulneraciones, tus investigaciones y la justificación de tu decisión.
  4. Completa el formulario de notificación online del ICO. Se solicita la siguiente información:
    • Una descripción de lo ocurrido y de cómo se detectó
    • Fecha y hora del descubrimiento de la vulneración
    • Las categorías y el número aproximado de personas y registros implicados
    • Resultados probables y acciones tomadas para abordar el problema
    • Medidas preventivas que ya estaban implantadas
    • Detalles de contacto de tu delegado de protección de datos (DPO) o del responsable principal de la notificación
  5. Comunícate con las personas afectadas si existe un alto riesgo para sus derechos o libertades. Esto no es solo una buena práctica: el Reglamento General de Protección de Datos (GDPR) y la Data Protection Act exigen que tomes esta medida.

Dado que es un requisito legal, las empresas no deben dudar en notificar estos eventos, aunque crean que la situación podría resolverse. Independientemente del tipo de vulneración y de su alcance, una notificación oportuna puede demostrar al ICO que tu empresa se toma en serio la responsabilidad y la mitigación. Además, cumplir con los requisitos de notificación del ICO ayuda a tu empresa a generar confianza, tanto entre los clientes como entre los reguladores.

La página del ICO sobre notificación de vulneraciones de datos personales(ventana nueva) cubre todos los matices y puede ayudarte a identificar una situación crítica y actuar en consecuencia.

¿Cuáles son los desafíos comunes en la notificación de vulneraciones de datos?

A pesar de unos requisitos legales claros, las empresas suelen tropezar por las mismas razones. Aquí es donde suelen empezar los problemas:

  • Informes retrasados o ausentes. A veces, los equipos no tienen claro quién es responsable de informar, o no descubren la vulneración hasta que ya es demasiado tarde. ¿El resultado? Sanciones del ICO y credibilidad dañada.
  • Falta de información completa. Informar demasiado pronto —sin reunir los hechos clave— puede dejar lagunas en el informe o provocar preguntas de seguimiento por parte del ICO.
  • Mala comunicación interna. Los problemas sensibles pueden quedarse «atascados» en un departamento en lugar de escalarse al contacto adecuado o al DPO.
  • Registros inadecuados. Algunas empresas tienen pocas o ninguna prueba de cómo se gestionó la vulneración, incluso después de abordar el problema principal. Esto las deja expuestas al escrutinio regulatorio.
  • Incertidumbre del personal o falta de formación. Si los empleados no saben qué se considera una vulneración, o si no tienen claras las normas de notificación, los incidentes pueden pasar desapercibidos.

Cada incidente es un poco distinto, pero la ausencia de un marco de respuesta claro siempre empeora las cosas. Por eso un manual estructurado de notificación importa tanto como los controles técnicos. Además, conviene tener presente que la preparación vence al pánico, siempre.

¿Cuáles son las mejores prácticas para prepararse para la notificación de vulneraciones en el Reino Unido?

Las prácticas siguientes (y unas pocas herramientas bien elegidas) sientan una base sólida, haciendo que el cumplimiento regulatorio se parezca menos a una emergencia y más a un proceso controlado.

1. Establece la detección y la documentación de incidentes

Todo empieza con la concienciación. Configura alertas para actividades sospechosas y anima a los empleados a informar de inmediato sobre correos electrónicos extraños, datos faltantes o accesos no autorizados. Una vez que se sospeche de un incidente:

  • Documenta quién, qué, dónde, cuándo y cómo
  • Guarda registros y capturas de pantalla para tu archivo
  • Conserva las pruebas, aunque después descubras que fue una falsa alarma

Documentar los primeros detalles te garantiza una base sólida para la notificación y el análisis posterior al incidente.

2. Mantén bajo revisión el acceso y el uso de credenciales

Como las contraseñas y los tokens de acceso pueden abrir la puerta a datos sensibles, controlar las credenciales es una de las formas más rápidas de detectar vulneraciones y limitar los daños. Las auditorías periódicas revelan contraseñas compartidas o reutilizadas, 2FA ausente, cuentas inactivas o escaladas de privilegios no autorizadas.

Estas revisiones de acceso deberían ser:

  • Periódicas y programadas, no improvisadas
  • Exhaustivas, cubriendo cuentas de administrador, nube, sistemas locales y cuentas de proveedores
  • Respaldadas por una herramienta que haga un seguimiento del uso de credenciales, los cambios y la actividad con registros detallados

Proton Pass for Business es un gestor de contraseñas empresarial seguro que ofrece varias funciones para ayudar a las empresas a prevenir estas vulneraciones, incluida la monitorización del estado de las contraseñas, políticas de equipo personalizables y alertas de vulneraciones.

Este enfoque, con las herramientas adecuadas, reduce el riesgo de una vulneración relacionada con credenciales y ayuda a identificar rápidamente qué salió mal en caso de que se produzca un incidente.

3. Configura flujos de trabajo internos de notificación

La comunicación clara vence al caos, y un camino sencillo para la escalada de incidentes es la respuesta que tu empresa necesita para una notificación eficiente de vulneraciones. Aquí tienes un ejemplo de un flujo de trabajo fluido:

  • Todo el personal informa de los incidentes sospechosos a un buzón de seguridad central o a un responsable designado
  • Con la información enviada, un equipo especializado investiga y clasifica los incidentes rápidamente
  • Después, una persona designada, como el DPO, decide la notificación final

Un diagrama de flujo sencillo de incidentes, compartido durante la incorporación y en recordatorios, hace maravillas. Facilita la notificación e implanta una cultura sin estigmas, porque si los miembros del equipo temen repercusiones, ocultarán los errores en lugar de notificarlos.

4. Invierte en concienciación del personal y formación periódica

La Cyber Security Breaches Survey 2025(ventana nueva) confirma que la suplantación sigue siendo la principal causa de vulneraciones (experimentada por el 85 % de las empresas encuestadas). Para afrontar esta realidad, formar a los empleados para detectar señales de alerta —desde correos electrónicos sospechosos hasta intentos de ingeniería social— es una de las medidas más económicas y eficaces.

Un enfoque breve y respaldado por ejemplos reales puede mejorar tu formación. Además, actualiza el contenido de la formación con la mayor frecuencia posible y evita depender de cursos genéricos que no se apliquen a tu sector o a la configuración de tu organización.

5. Evalúa y registra objetivamente el impacto de las vulneraciones

La mejor manera de juzgar si una vulneración es notificable es una evaluación del riesgo. Es esencial documentar:

  • Tipos de datos perdidos y si son sensibles (salud, finanzas, datos de menores, etc.)
  • Qué facilidad habría para identificar a las personas afectadas
  • Qué daños podrían derivarse (robo de identidad, vergüenza, pérdida financiera, etc.)

Actuar pronto y dejar por escrito tu evaluación demuestra al ICO que te tomaste la situación en serio.

6. Practica simulacros de respuesta ante vulneraciones

Plantear vulneraciones simuladas es un ejercicio de mesa clásico capaz de marcar una diferencia real. Pone de relieve lagunas ocultas, revela cuellos de botella en los flujos de trabajo y prueba el proceso de escalado antes de que ocurra el incidente real.

¿El resultado? No solo un refuerzo del cumplimiento, sino un equipo que sabe qué hacer (y por qué) bajo presión.

7. Aprovecha la gestión segura del acceso y las herramientas centradas en la prevención

Las contraseñas comprometidas siguen siendo un riesgo principal. Por eso, una gestión segura de contraseñas es una parte esencial de la prevención y la respuesta ante incidentes. Soluciones como Proton Pass for Business limitan enormemente la exposición durante las vulneraciones al automatizar la rotación de credenciales, monitorizar el estado de las contraseñas y dificultar mucho más el éxito de la suplantación.

Puedes explorar más estrategias y explicaciones de herramientas en los recursos de ciberseguridad de Proton, especialmente si estás revisando tu propio conjunto de herramientas.

Cómo Proton Pass for Business puede reducir tus riesgos de vulneración

Las empresas de todos los tamaños son vulnerables a las vulneraciones de datos. De hecho, según la investigación realizada por Proton, las pymes pueden ser las más vulnerables de todas. Pero con las herramientas adecuadas, cualquier empresa puede reducir sus riesgos de vulneración: Proton Pass for Business aborda tanto los desafíos técnicos como los de cumplimiento.

  • El cifrado de extremo a extremo protege las credenciales de los usuarios en reposo y en tránsito. Incluso si la infraestructura se ve comprometida, los datos siguen siendo inaccesibles para los atacantes.
  • Password Health Check mejora la seguridad de la red empresarial. Se identifican y notifican las contraseñas débiles o reutilizadas para mejorar la seguridad.
  • Dark Web Monitoring rastrea credenciales filtradas y envía alertas. El escaneo activo en toda la dark web te permite identificar vulneraciones y reducir el daño potencial.
  • Las políticas de equipo personalizables y aplicables establecen una gestión de contraseñas más sólida. Las estrictas y adaptables políticas de contraseñas, 2FA y uso compartido de datos aplican la seguridad de acceso según las necesidades de tu organización.
  • Las herramientas centrales de administrador, los informes automatizados y los controles para compartir credenciales permiten implementar cambios en minutos, no en días.
  • El código de código abierto y las auditorías independientes periódicas generan confianza. Los controles de seguridad no son solo afirmaciones: cualquiera puede verificarlos.

Al centrarse en el empoderamiento del usuario, la seguridad abierta y la facilidad de despliegue, Proton se alinea con un enfoque que prioriza la privacidad. Esto te ayuda a construir una cultura laboral en la que la resiliencia frente a vulneraciones esté integrada en tus flujos de trabajo diarios.

Para las organizaciones listas para avanzar hacia una gestión segura del acceso como parte de un programa de preparación ante vulneraciones, el gestor de contraseñas empresarial de Proton es una opción natural, especialmente si el cumplimiento, la facilidad de uso y la transparencia ocupan un lugar destacado en tu lista de verificación.

Por ejemplo, Novalytica comparte muchas credenciales de inicio de sesión con clientes y buscaba una forma segura de realizar esta tarea. Proton Pass for Business respondió a sus necesidades con una solución completa para compartir información e inicios de sesión con clientes, garantizando seguridad y trazabilidad.

Si te interesan consejos prácticos para implantar credenciales seguras y la notificación de vulneraciones a escala, explora también algunos ejemplos detallados en la página de recursos empresariales de Proton para ciberseguridad.

Mantén tu empresa preparada

Saber cómo presentar una notificación de vulneración de datos en el Reino Unido es clave para el cumplimiento, la confianza y la supervivencia de una empresa. La diferencia entre un desastre perjudicial y un incidente gestionado suele reducirse a la preparación, la comunicación y el uso de la combinación adecuada de personas, procesos y tecnologías seguras.

Crear flujos de trabajo internos claros, practicar simulacros de incidentes y priorizar herramientas seguras como Proton Pass for Business son acciones potentes que ayudan a cumplir los plazos de notificación o evitar multas. Además, estas buenas prácticas refuerzan la gobernanza en todos los niveles, fomentan la responsabilidad y aseguran tanto a tus clientes como al ICO que te tomas en serio hacer lo correcto, incluso en momentos difíciles.

Si quieres ir un paso por delante, obtén más información sobre la misión de Proton en favor de la libertad digital y descubre cómo las herramientas que priorizan la privacidad pueden ayudar a tu empresa. Te invitamos a explorar nuestras soluciones para empresas y a unirte a un movimiento que pone a las personas —y no solo los beneficios— en el centro de la ciberseguridad.

Preguntas frecuentes sobre vulneraciones de datos en el Reino Unido

¿Qué es una vulneración de datos en el Reino Unido?

Una vulneración de datos en el Reino Unido es cualquier incidente en el que se pierden, divulgan, alteran o se accede a datos personales sin autorización, ya sea por accidente, ciberataque o negligencia. Importa si existe un riesgo para los derechos o libertades de las personas: ese es el umbral para decidir si debes notificar la vulneración a la Information Commissioner’s Office (ICO).

¿Cómo denuncio una vulneración de datos al ICO?

Debes utilizar el formulario de notificación online del ICO y proporcionar los detalles clave sobre la vulneración: qué ocurrió, cuándo, cuántas personas y registros están implicados, y qué medidas has tomado o planeas tomar para contener las consecuencias. El delegado de protección de datos de la organización u otro responsable oficial debería presentar normalmente la notificación en un plazo de 72 horas desde su descubrimiento (24 horas para las organizaciones que actúan como proveedores de servicios de confianza en virtud del UK eIDAS).

¿Cuándo debo notificar al ICO una vulneración?

Debes notificar al ICO lo antes posible, y no más tarde de 72 horas después de tener conocimiento de la vulneración, si es probable que el incidente ponga en riesgo los derechos y libertades de las personas. No cumplir este plazo puede dar lugar a sanciones regulatorias adicionales y a la pérdida de la confianza pública.

¿Qué información se necesita para notificar una vulneración?

El ICO pide una descripción completa de la vulneración, la fecha y la hora del descubrimiento, la naturaleza y el volumen de los datos personales afectados, el número de personas o registros afectados, qué daños pueden derivarse y las acciones tomadas para contener la vulneración. También se solicita un punto de contacto para el seguimiento. Si no toda la información está disponible en 72 horas, debes enviar igualmente la notificación y actualizar al ICO más tarde cuando dispongas de más detalles.

¿Se pueden notificar todas las vulneraciones de datos al ICO?

No, no todas las vulneraciones son notificables. Solo debes informar de aquellos incidentes en los que estén implicados datos personales y exista un riesgo real para los derechos o libertades de las personas. Sin embargo, incluso las vulneraciones no notificables deben registrarse internamente por si el ICO revisa tus registros en el futuro.