FicharNet - Control de horarios
Inicio Blog Asesora Brecha y Comunica-Brecha: un protocolo útil para RRHH cuando el incidente afecta al sistema de fichaje
Blog FicharNet
Protección de datos
Tipo: Guía práctica Lectura: 3 min de lectura Revisado: 6 de febrero de 2026

Asesora Brecha y Comunica-Brecha: un protocolo útil para RRHH cuando el incidente afecta al sistema de fichaje

Publicado el 6 de febrero de 2026

Si un incidente de seguridad afecta a horarios, credenciales, exportaciones o datos de empleados, RRHH necesita reaccionar con rapidez y criterio; las herramientas de la AEPD ayudan a ordenar esa decisión.

Volver al blog Probar FicharNet

Qué conviene tener claro

Cuando una brecha afecta al sistema de fichaje, el impacto rara vez se limita a tecnología. Suele implicar a RRHH, a la asesoría, a la dirección y, a veces, a toda la plantilla. Horarios, credenciales, ubicaciones, ausencias o datos identificativos pueden quedar expuestos y alguien tiene que decidir con rapidez si el incidente debe notificarse a la autoridad y comunicarse a las personas afectadas.

En ese momento se agradece disponer de un método. Las herramientas Asesora Brecha y Comunica-Brecha de la AEPD no resuelven por sí solas el incidente, pero sí ayudan a recorrer con orden las preguntas relevantes y a documentar la decisión.

Qué dice la norma o la fuente oficial

La AEPD explica que Asesora Brecha ayuda a decidir si una brecha de datos personales debe notificarse a la autoridad de control, mientras que Comunica-Brecha asiste ante la obligación de comunicar la brecha a las personas afectadas cuando sea probable que exista un alto riesgo para sus derechos y libertades. La Agencia recuerda, además, que la notificación a la autoridad debe realizarse sin dilación indebida y, como regla general, dentro de las 72 horas desde que se tiene constancia de la brecha.

La utilidad práctica está en que ambas herramientas obligan a desagregar el incidente: qué ha ocurrido, qué datos se han visto afectados, qué riesgo existe y si la organización tiene o no obligación de notificar y comunicar. Esa secuencia reduce la improvisación y mejora la trazabilidad interna.

Cómo se traduce a la operativa diaria

Para RRHH, lo más razonable es incorporar estas herramientas a un protocolo previo. Si hay un acceso indebido a horarios o una exportación masiva enviada por error, el tiempo de reacción es corto y no conviene empezar a diseñar el proceso desde cero. Tener claro quién analiza, quién recopila datos, quién decide y quién ejecuta la notificación es media respuesta.

También merece la pena conservar el informe o la evidencia de la decisión, incluso cuando se concluya que no hay obligación de notificar. Esa documentación es útil para demostrar diligencia y para aprender del incidente.

Dónde suelen aparecer los problemas

Los problemas más habituales aparecen cuando el incidente se trata solo como un fallo técnico y no se activa una revisión específica del riesgo para las personas. Entonces pasan horas valiosas sin determinar qué datos se expusieron realmente y si el riesgo es bajo, medio o alto.

Otra situación frecuente es la de la exportación errónea a un destinatario equivocado. No parece un gran ciberincidente, pero puede implicar información laboral muy sensible y obligar igualmente a valorar notificación y comunicación.

Puntos de revisión útiles

  • Definir un protocolo interno de brechas aplicable también al sistema de fichaje.
  • Usar Asesora Brecha para ordenar el análisis inicial del incidente.
  • Valorar por separado la notificación a la autoridad y la comunicación a afectados.
  • Documentar la decisión incluso cuando se concluya que no procede notificar.
  • Revisar después las causas del incidente y las medidas para evitar repetición.

Errores frecuentes o falsas seguridades

  • Tratar la brecha como un simple problema informático sin involucrar a RRHH o privacidad.
  • Esperar a tener todos los detalles perfectos antes de empezar a valorar la obligación de notificar.
  • No conservar evidencia del análisis porque finalmente no se notificó.
  • Confundir la notificación a la autoridad con la comunicación a las personas afectadas.

Cómo puede ayudar una herramienta bien implantada

FicharNet puede aportar trazabilidad y registro de accesos, dos piezas muy útiles cuando hay que reconstruir un incidente. Si además la empresa tiene integrado un protocolo claro con herramientas de la AEPD, la respuesta es mucho más ordenada.

Eso no elimina la brecha, pero sí reduce el caos en las primeras horas, que es justo cuando más daño hace la improvisación.

Seguir leyendo el blog Solicitar demo

Artículos relacionados

Una selección automática de lecturas cercanas a este tema.

Registro horario y protección de datos: minimización, accesos y conservación
Publicado: 01/03/2026 Lectura: 2 min de lectura

Registro horario y protección de datos: minimización, accesos y conservación

El registro horario es obligatorio, pero eso no permite tratar datos sin límites. La AEPD recuerda que debe usarse el sistema menos invasivo posible y que los datos no pueden reutilizarse para otras finalidades.

Abrir artículo
Fichaje biométrico: qué cautelas marca la AEPD antes de implantar huella o reconocimiento facial
Publicado: 28/02/2026 Lectura: 2 min de lectura

Fichaje biométrico: qué cautelas marca la AEPD antes de implantar huella o reconocimiento facial

La biometría para control de presencia no es una decisión técnica neutra. La AEPD advierte de que supone tratar categorías especiales de datos y exige un análisis estricto de idoneidad, necesidad y proporcionalidad.

Abrir artículo
Geolocalización para fichar: cuándo encaja y qué cautelas exige la AEPD
Publicado: 10/03/2026 Lectura: 2 min de lectura

Geolocalización para fichar: cuándo encaja y qué cautelas exige la AEPD

La geolocalización puede utilizarse en el ámbito laboral, pero exige información previa, proporcionalidad y una finalidad acotada. La AEPD recuerda que no vale para cualquier caso.

Abrir artículo