La Agencia Española de Protección de Datos (AEPD) recibió el pasado año un total de 2.765 notificaciones de brechas de datos personales, la mayoría de ellas (el 80 por ciento) correspondientes al sector privado.
La cifra pone de relieve el elevado número de ciberincidentes y otros casos en los que una brecha puede llegar a constituir un riesgo para los derechos y libertades de las personas, ha señalado la AEPD en una nota de prensa, y ha recordado que el Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la autoridad las brechas de datos personales cuando sea probable que estas constituyan un riesgo para las personas afectadas.
Esta obligación compete al responsable del tratamiento de datos y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo por parte de la Agencia, ya que de hecho comunicarla en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.
De las 2.765 brechas de datos personales notificadas, solo once se han trasladado para una investigación adicional, al tratarse de brechas de una severidad 'alta' en las que se han apreciado indicios de falta de diligencia de la organización en la respuesta a la brecha o en las medidas previas.
'Ransomware'
Las brechas que han afectado a un número más elevado de personas en 2025 son las relacionadas con ciberincidentes de tipo 'ransomware' (programas malignos) y las intrusiones en sistemas de información que resultan en extracción de grandes volúmenes de datos personales.
En particular, han afectado a un volumen extraordinariamente alto de personas las brechas producidas por ciberataques a los encargados del tratamiento y concretamente a grandes plataformas de gestión de relaciones con los clientes, ha informado la Agencia.
La vía de entrada habitual en estas grandes brechas de datos personales es el acceso a la 'red privada virtual' (VPN) corporativas o aplicaciones web mediante credenciales comprometidas de los propios usuarios, siendo el segundo factor de autenticación la medida más eficaz para evitarlo.
Sin embargo, no todas las brechas de datos personales son causadas por ciberincidentes, y la Agencia Española de Protección de Datos ha observado que otras brechas frecuentes han estado relacionadas con el envío de datos personales a destinatarios incorrectos y con mostrar datos personales por error.
Notificar la brecha de datos personales a la Agencia es tan importante como informar sobre la misma a las personas afectadas, y esa comunicación, sobre todo en casos de riesgo alto, es clave para que las personas afectadas puedan valorar el riesgo de acuerdo con sus circunstancias particulares, y tomar las acciones que consideren apropiadas.
En ese sentido, los responsables que notificaron una brecha de datos personales a la Agencia emitieron en 2025 más de 200 millones de comunicaciones por existencia de alto riesgo.
Este organismo ha recordado a las organizaciones la importancia de implementar medidas de protección de datos antes de que se produzca una brecha de datos personales (minimización de datos, borrado o anonimización temprana, bloqueo, segmentación, etc.), además de estar preparadas para la gestión del problema cuando se materializa.
