La Agencia Española de Protección de Datos recibió 2.765 notificaciones de brechas, un reflejo del incremento de ciberincidentes con impacto en derechos fundamentales.
El 80 % de los casos provinieron del sector privado, y solo 11 derivaron en investigaciones por posible falta de diligencia.
Los ataques de tipo ransomware y las intrusiones en sistemas de gestión de datos fueron los más dañinos.
Las organizaciones emitieron más de 200 millones de comunicaciones a afectados por brechas de alto riesgo.
Casi 2.800 brechas de datos en un solo año
La Agencia Española de Protección de Datos (AEPD) registró durante el año 2025 un total de 2.765 notificaciones de brechas de datos personales. Esta cifra refleja el creciente número de incidentes vinculados a la ciberseguridad y a la gestión inadecuada de información sensible, que pueden poner en peligro los derechos y libertades de las personas.
El 80 % de estas notificaciones provienen del sector privado, mientras que el 20 % restante corresponde a entidades del sector público. Este reparto evidencia una mayor exposición o actividad en materia de tratamiento de datos por parte de empresas, especialmente aquellas que operan con grandes volúmenes de datos personales.
Una obligación clave dentro del RGPD
La obligación de notificar las brechas de datos personales está regulada en el artículo 33 del Reglamento General de Protección de Datos (RGPD). Esta normativa exige que cualquier incidente que pueda representar un riesgo para los derechos de las personas afectadas sea comunicado a la autoridad competente sin dilación indebida.
No obstante, el simple hecho de notificar una brecha no conlleva automáticamente el inicio de un procedimiento sancionador. De hecho, desde la AEPD se destaca que cumplir con esta obligación es un indicativo de diligencia por parte de la organización. En contraste, no notificar una brecha que debía ser informada sí puede constituir una infracción sancionable.
En 2025, de las 2.765 brechas notificadas, solo 11 fueron trasladadas a los servicios de inspección para su investigación, debido a su gravedad y a la posible existencia de una respuesta inadecuada por parte de los responsables.
Ransomware e intrusiones, principales amenazas
Las brechas que afectaron a un mayor número de personas estuvieron relacionadas principalmente con ataques de tipo ransomware y con exfiltraciones masivas de datos personales a través de accesos no autorizados a sistemas de información. Estos ataques han impactado de forma significativa a encargados del tratamiento de datos, en especial a grandes plataformas de gestión de relaciones con clientes (CRM).
Uno de los vectores de ataque más comunes en estos incidentes ha sido el acceso indebido a redes privadas virtuales (VPNs) y a aplicaciones web mediante credenciales de usuarios comprometidas. En este contexto, la AEPD insiste en la importancia de implementar sistemas de autenticación multifactor, destacando que el segundo factor de autenticación es una de las medidas más eficaces para evitar este tipo de brechas.
No obstante, no todas las brechas se deben a ciberataques. Errores humanos como el envío de información a destinatarios equivocados o la exposición accidental de datos personales también figuran entre las causas frecuentes de notificación.
Más de 200 millones de afectados informados
Uno de los aspectos clave tras una brecha de datos personales es la comunicación a las personas afectadas, especialmente en aquellos casos donde el incidente supone un alto riesgo. Durante 2025, los responsables de tratamiento emitieron más de 200 millones de comunicaciones individuales a afectados por brechas de alto impacto.
Esta medida no solo cumple con la normativa, sino que permite a las personas afectadas conocer el riesgo que enfrentan y tomar decisiones informadas, como cambiar contraseñas, activar medidas de seguridad adicionales o contactar con entidades relevantes.
La negativa a informar a los afectados puede considerarse un factor agravante por parte de la AEPD y dar lugar a investigaciones adicionales. La transparencia y la comunicación efectiva son elementos fundamentales para una gestión diligente del incidente.
Prevención y preparación: claves frente a futuras brechas
La Agencia Española de Protección de Datos recuerda que una gestión eficaz de las brechas comienza mucho antes de que estas ocurran. Implementar medidas preventivas como la minimización de datos, el borrado o anonimización temprana, el bloqueo de accesos y la segmentación de la información, son estrategias esenciales para mitigar el impacto de un posible incidente.
Además, la AEPD pone a disposición de las organizaciones herramientas específicas para facilitar la toma de decisiones ante una brecha. Entre ellas destacan:
Asesora Brecha, que ayuda a determinar si existe la obligación de notificar el incidente a la Agencia.
Comunica-Brecha RGPD, que orienta sobre la necesidad de informar a las personas afectadas en función del nivel de riesgo.
Estas herramientas forman parte del enfoque de responsabilidad proactiva que promueve la AEPD para garantizar el cumplimiento normativo y proteger los derechos de los ciudadanos frente a la creciente amenaza de las brechas de seguridad.
