La protección de la información continúa siendo uno de los desafíos críticos para las organizaciones en un entorno donde los ciberataques pueden comprometer gravemente las libertades de los ciudadanos. Esta realidad se refleja en las últimas cifras facilitadas por la Agencia Española de Protección de Datos (AEPD), que ha confirmado la recepción de 2.765 notificaciones de brechas de datos personales durante el año 2025. Del total de avisos registrados por el organismo regulador, el 80 por ciento tiene su origen en el sector privado, mientras que el 20 por ciento restante corresponde a entidades del ámbito público.
Notificación y diligencia
El artículo 33 del Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la autoridad de control competente los incidentes de seguridad cuando sea probable que estos constituyan un riesgo para los afectados. Esta obligación forma parte de la responsabilidad proactiva del responsable del tratamiento y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo.
De hecho, realizar el aviso en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción. De las notificaciones recibidas, solo once se han trasladado para investigación adicional, al tratarse de sucesos de severidad alta en los que se han apreciado indicios de falta de actuación adecuada en la respuesta o en las medidas previas.
Principales vectores de ataque
Las brechas que han afectado a un número más elevado de individuos en 2025 son los relacionadas con ciberincidentes de tipo ransomware y las intrusiones en sistemas de información que resultan en exfiltración de grandes volúmenes de información. En particular, han afectado a una cantidad extraordinariamente alta de usuarios los ataques a encargados del tratamiento y concretamente a grandes plataformas de gestión de relaciones con los clientes.
La vía de entrada habitual es el acceso a VPN corporativas o aplicaciones web mediante credenciales comprometidas, siendo el segundo factor de autenticación la medida más eficaz para evitarlo. Sin embargo, no todos los casos son causados por ciberataques. Otras situaciones frecuentes han estado relacionadas con el envío de información a destinatarios incorrectos y con mostrar datos personales por error.
Transparencia con los afectados
Por otro lado, notificar a la Agencia es tan importante como informar sobre la misma a las víctimas. Esta comunicación, sobre todo en casos de riesgo alto, es clave para que los ciudadanos puedan valorar el peligro de acuerdo con sus circunstancias particulares y tomar las acciones que consideren apropiadas. En este sentido, los responsables emitieron en 2025 más de 200 millones de avisos por existencia de alto riesgo. Este elemento es clave para determinar la respuesta diligente del responsable, y su negativa a comunicar a los afectados es un factor prioritario para trasladar a los servicios de inspección de la Agencia un incidente.
En todo caso, el organismo recuerda a las organizaciones la importancia de implementar medidas de seguridad antes de que se produzca una quiebra de seguridad (minimización de datos, borrado o anonimización temprana, bloqueo, segmentación, etc.), además de estar preparadas para la gestión de la misma si llegase a materializarse.
Por último, la Agencia ofrece varias utilidades para ayudar en la toma de decisiones a las organizaciones que puedan sufrir un incidente. Asesora Brecha ayuda a valorar la obligación de notificar sin dilación indebida al regulador y Comunica-Brecha RGPD presta asistencia para decidir si las organizaciones deben comunicar la situación a las personas afectadas.
Archivado en:





