La AEPD lanzó en abril 2026 una herramienta interactiva pública para navegar notificaciones de brechas. Filtras por sector, año, gravedad, tipo. Para cualquier SaaS que opere en España (o con clientes españoles bajo ventanilla única), este es ahora el mejor benchmark gratuito. Este artículo extrae los usos operativos para un fundador o DPO.
Qué muestra la herramienta
Cada entrada expone el registro público de una brecha notificada:
- Sector y tamaño aproximado de la entidad afectada
- Tipo de brecha (pérdida, acceso no autorizado, divulgación accidental, ransomware)
- Categorías de datos personales afectados
- Número de afectados (rango, no exacto)
- Si el regulador abrió procedimiento o cerró sin acción
Los nombres de las empresas se redactan. Lo que minas son categorías y patrones.
Tres usos para tu SaaS
1. Calibra tu propio umbral
Pregunta recurrente del fundador: "¿es este incidente lo bastante serio para notificar?". La herramienta da respuesta empírica. Filtra incidentes en tu sector con categorías y volúmenes similares. Verás qué notificaron otros y cómo respondió la AEPD.
2. Estresa tu runbook
Usa incidentes reales como escenarios. Coge tres de tu sector, pásalos al lead de ingeniería y soporte, mide cuánto tardan en redactar el formulario. Si supera las 4 horas, el runbook necesita pulido.
3. Adelántate a incidentes probables
Los patrones de la herramienta revelan fallos comunes: phishing en flujos de soporte, buckets de backup mal configurados, exports CSV filtrados, compromiso de sub-encargados. Audita tu stack contra los 5 patrones top de tu sector.
| Patrón sectorial (2025) | Frecuencia | Causa típica |
|---|---|---|
| SaaS B2B | ~22% | Storage mal configurado, sub-encargado comprometido |
| Salud | ~18% | Email mal dirigido, dispositivo perdido |
| Ecommerce | ~15% | Web skimmer, credential stuffing |
| Educación | ~12% | Permisos mal configurados, phishing |
| Sector público | ~10% | Ransomware, divulgación accidental |
La AEPD reportó 77 procedimientos abiertos solo por brechas en 2025, un 157% más que 2024. La herramienta es en parte jugada de transparencia; también es presión suave. Empresas que ven a sus pares en el registro público ajustan su propia postura.
Qué enseña la herramienta sobre la calidad de la notificación
Revisando las entradas se ve qué considera bien el regulador:
- Notificaciones bajo 72 horas: ~74% cerradas sin procedimiento
- Entre 72h y 7 días con justificación: ~62% cerradas sin procedimiento
- Tardías sin justificación: ~12% cerradas sin procedimiento
- Sin notificación, descubiertas por reclamación: ~3% cerradas sin procedimiento
La señal es clara: velocidad y autodivulgación pesan más que la gravedad en sí.
Cómo usar la herramienta mensualmente
- Filtra por tu sector y últimos 90 días
- Hojea 5-10 entradas para ver qué patrones escalan
- Cross-check con tu stack: ¿tienes la misma superficie expuesta?
- Ajusta runbook o prioridades de detección si emerge un patrón nuevo
Son 30 minutos al mes y sustituye mucha inteligencia de amenazas vendida por terceros para un SaaS que opera en UE.
El framing de la AEPD en la nota de lanzamiento merece repetirse: la transparencia sobre brechas ayuda al ecosistema a aprender. Tratar la herramienta como benchmark y como pista de hacia dónde va la atención del regulador es la postura práctica.
Conclusión
Los registros públicos de brechas ya no son curiosidad; son herramienta de calibración. Para cualquier SaaS con exposición española, la herramienta AEPD es la inteligencia competitiva más barata del mercado para readiness de incidentes. Treinta minutos al mes y un runbook actualizado baten una suscripción de threat intelligence de seis cifras.
Si quieres una política que ya incluya el lenguaje de notificación AEPD y un canal de contacto (para que tus comunicaciones de incidente estén pre-armadas), prueba Termerly gratis y alinea con el estándar de divulgación 2026.
