La Agencia Española de Protección de Datos (AEPD) ha revelado que en 2025 recibió un total de 2.765 notificaciones de brechas de datos personales. Esta cifra destaca el creciente número de ciberincidentes y otros eventos que pueden poner en riesgo los derechos y libertades de los ciudadanos. De las notificaciones, el 80% proviene del sector privado, mientras que el 20% corresponde al sector público.
Según lo estipulado en el artículo 33 del Reglamento General de Protección de Datos (RGPD), es obligatorio notificar a la autoridad competente cualquier brecha que pueda suponer un riesgo para las personas afectadas. Esta obligación forma parte de la responsabilidad proactiva del responsable del tratamiento de datos. Notificar no implica necesariamente la apertura de un procedimiento administrativo por parte de la AEPD; sin embargo, hacerlo correctamente es una muestra de diligencia organizativa. En contraste, el incumplimiento se considera una infracción. De las brechas notificadas, solo once han sido objeto de investigación adicional debido a su alta severidad y a indicios de falta de diligencia por parte de las organizaciones involucradas.
Ciberincidentes y sus Consecuencias
Las brechas más significativas en 2025 han estado relacionadas con ciberincidentes tipo ransomware y con intrusiones en sistemas informáticos que resultan en la exfiltración masiva de datos personales. Los ataques dirigidos a grandes plataformas CRM han afectado a un número extraordinario de personas. La mayoría de estas brechas se producen a través del acceso no autorizado a VPNs corporativas o aplicaciones web mediante credenciales comprometidas. Para mitigar este riesgo, se recomienda implementar medidas como el segundo factor de autenticación.
No obstante, no todas las brechas son causadas por ciberataques; también se han dado casos relacionados con el envío erróneo de datos personales o su exposición accidental.
Importancia de la Comunicación ante Brechas
Notificar una brecha a la AEPD es tan crucial como informar a los afectados. Esta comunicación permite que los individuos evalúen el riesgo según su situación particular y tomen decisiones informadas sobre cómo proceder. En 2025, los responsables que notificaron brechas emitieron más de 200 millones de comunicaciones sobre situaciones consideradas como alto riesgo. La negativa a informar a las personas afectadas puede ser un factor determinante para que la AEPD considere una brecha como grave.
Aunque ya se han recibido numerosas notificaciones, la AEPD subraya la necesidad imperiosa de implementar medidas preventivas antes de que ocurra una brecha, tales como la minimización y anonimización temprana de datos, así como estrategias para gestionar incidentes si llegaran a producirse.
Herramientas Disponibles para Organizaciones
Para facilitar la gestión ante posibles brechas, la AEPD ofrece diversas herramientas útiles para las organizaciones. Por ejemplo, Asesora Brecha, ayuda a evaluar si existe la obligación de notificar sin dilación indebida. Además, Comunica-Brecha RGPD, proporciona asistencia sobre si deben comunicarse las brechas a los afectados.
Si (
No(
