He enviado datos personales al destinatario equivocado

Captura del correo enviado con destinatarios, asunto, adjunto. Conserva, no borres. Necesitamos saber qué datos personales se han expuesto y cuántas personas se ven afectadas.

Es quien valora si hay que notificar a AEPD (72h desde conocimiento). Cuanto antes lo sepa, mejor evaluación y decisiones.

M365 → carpeta Enviados → 'Retirar mensaje' (funciona si el destinatario aún no lo ha leído en el mismo tenant). En Google Workspace no existe retirada estándar tras el envío, pero el admin puede bloquearlo si está en cola.

Por escrito y por canal verificable: pide la eliminación inmediata del correo y los adjuntos, y la confirmación de que no se ha redistribuido. Conserva la respuesta. Bajo RGPD, esto no exime de la brecha pero documenta la diligencia.

Si fue un enlace de Drive/SharePoint con 'cualquiera con el enlace', cambia el permiso a restringido a personas concretas, lista los accesos previos y mira si alguien externo lo abrió.

Aunque finalmente DPO decida no notificar a AEPD (riesgo improbable), el incidente debe quedar registrado: qué pasó, datos afectados, medidas, valoración del riesgo, decisión. Es exigible por el Art. 33.5 RGPD.

Casi todos estos casos son evitables con DLP en el correo (avisos al enviar fichero con DNI/IBAN/etc.) y plantillas en envío masivo (BCC por defecto). Propón mejora si se repite el patrón.