Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
CONTACTO

La AEPD recibió 2.765 notificaciones de brechas de datos personales en 2025: principales riesgos y respuesta diligente

En este artículo hablamos sobre:

  • La Agencia Española de Protección de Datos (AEPD) gestionó 2.765 notificaciones de brechas en 2025, mayoritariamente del sector privado.

  • Ransomware e intrusiones en sistemas CRM figuran entre los ciberincidentes que más personas afectaron.

  • Más de 200 millones de comunicaciones fueron remitidas a personas afectadas por brechas con alto riesgo.

  • La notificación no implica un procedimiento sancionador, pero sí refleja la diligencia del responsable del tratamiento.

En 2025, la Agencia Española de Protección de Datos (AEPD) recibió un total de 2.765 notificaciones de brechas de datos personales, una cifra que refleja el elevado número de ciberincidentes y errores operativos que pueden suponer un riesgo real para los derechos y libertades de las personas. Estos datos reafirman la necesidad de mantener altos niveles de protección y capacidad de respuesta ante incidentes que comprometan la seguridad de la información personal.

Del total de notificaciones recibidas, el 80 % provino del sector privado y el 20 % del sector público, consolidando la tendencia que sitúa a las entidades privadas como principales emisoras de estos avisos.

Ciberincidentes masivos y vectores de ataque más comunes

Los casos que afectaron a un mayor número de personas están relacionados, principalmente, con ataques de ransomware y exfiltraciones masivas de datos por intrusiones en sistemas de información. Estas brechas han tenido un impacto especialmente alto cuando han afectado a plataformas CRM, utilizadas habitualmente por encargados del tratamiento para gestionar relaciones con clientes.

Uno de los vectores de ataque más frecuentes ha sido el acceso indebido a VPNs corporativas o aplicaciones web mediante credenciales comprometidas, un tipo de brecha que puede evitarse eficazmente con la implementación de doble factor de autenticación.

No obstante, las brechas no siempre están vinculadas a ataques cibernéticos sofisticados. La AEPD también ha identificado situaciones frecuentes de envío de datos personales a destinatarios incorrectos, así como la exposición accidental de información sensible por errores humanos o fallos en los procesos internos.

Descubre si tu organización está en riesgo de sanción de manera gratuita
Test de autoevaluación de cumplimiento protección de datos en 2026
Iniciar test gratuito

Más de 200 millones de personas fueron notificadas

Uno de los aspectos más relevantes del informe de la AEPD es el volumen de personas informadas tras la detección de brechas con alto riesgo: más de 200 millones de comunicaciones fueron enviadas por los responsables del tratamiento. Esta obligación, establecida en el artículo 34 del RGPD, es fundamental para que las personas afectadas puedan conocer los riesgos específicos que enfrentan y tomar las medidas oportunas para protegerse.

La comunicación a los afectados también se valora como un indicador de diligencia por parte de la organización. En cambio, la negativa a informar a las personas afectadas puede motivar la apertura de inspecciones por parte de la Agencia.

La notificación como parte de la responsabilidad proactiva

La notificación de brechas de seguridad no implica necesariamente la apertura de un procedimiento sancionador. Según establece el artículo 33 del Reglamento General de Protección de Datos (RGPD), los responsables del tratamiento deben notificar a la autoridad de control aquellas brechas que puedan constituir un riesgo para las personas. Esta acción se enmarca dentro de la responsabilidad proactiva y es interpretada como una muestra de cumplimiento y transparencia.

En 2025, de las 2.765 notificaciones recibidas, solo 11 casos fueron trasladados a investigación adicional por tratarse de situaciones de alta severidad en las que se apreciaron posibles deficiencias en la respuesta de la organización o en las medidas preventivas adoptadas.

Recomendaciones y herramientas de la AEPD

La Agencia recuerda que la prevención es esencial para evitar brechas de datos personales. Por ello, promueve medidas como:

  • Minimización de datos.

  • Borrado o anonimización temprana.

  • Segmentación de accesos.

  • Restricción por defecto del tratamiento.

Además, la AEPD pone a disposición de las organizaciones varias herramientas prácticas para facilitar la gestión de incidentes:

  • Asesora Brecha, que orienta sobre la necesidad de notificar la brecha.

  • Comunica-Brecha RGPD, que ayuda a valorar si es necesario comunicar la brecha a las personas afectadas.

Cumplimiento, transparencia y preparación

Los datos de 2025 subrayan que las brechas de datos personales continúan siendo un riesgo significativo en el entorno digital. Notificar adecuadamente estos incidentes no solo es una obligación legal, sino también una demostración de responsabilidad y diligencia. En un contexto de amenazas crecientes, la preparación preventiva y la comunicación transparente son pilares clave para garantizar la protección de los datos personales y la confianza de las personas afectadas.

Más artículos sobre cumplimiento normativo

GUÍA PARA DIRECTIVOS

PREVENCIÓN DE RIESGOS LEGALES Y PENALES

DESCARGAR GRATIS

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas un presupuesto a medida?
Contactar

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 48hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

GUÍA ESENCIAL PARA DIRECTIVOS

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 – 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.