Guía de San Pedro Alcántara
Comentarios
La Agencia Española de Protección de Datos (AEPD) ha recibido 2.765 notificaciones de brechas de datos personales en 2025, una cifra que pone de manifiesto el elevado número de ciberincidentes y otros casos en los que una brecha puede llegar a constituir un riesgo para los derechos y libertades de las personas. De las notificaciones recibidas, el 80% corresponde al sector privado y el 20% al sector público.
El artículo 33 del Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que estas constituyan un riesgo para las personas afectadas. Esta obligación forma parte de la responsabilidad proactiva del responsable del tratamiento de datos y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo por parte de la Agencia. De hecho, notificar en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción. De las 2.765 brechas de datos personales notificadas solo once se han trasladado para investigación adicional, al tratarse de brechas de severidad alta en las que se han apreciado indicios de falta de diligencia de la organización en la respuesta a la brecha o en las medidas previas.
Las brechas que han afectado a un número más elevado de personas en 2025 son las relacionadas con ciberincidentes de tipo ransomware y las intrusiones en sistemas de información que resultan en exfiltración de grandes volúmenes de datos personales. En particular, han afectado a un volumen extraordinariamente alto de personas las brechas producidas por ciberataques a encargados del tratamiento y concretamente a grandes plataformas de gestión de relaciones con los clientes (CRM). La vía de entrada habitual en estas grandes brechas de datos personales es el acceso a VPNs corporativas o aplicaciones web mediante credenciales comprometidas de usuarios, siendo el segundo factor de autenticación la medida más eficaz para evitarlo. Sin embargo, no todas las brechas de datos personales son causadas por ciberincidentes. Otras brechas frecuentes han estado relacionadas con el envío de datos personales a destinatarios incorrectos y con mostrar datos personales por error.
Por otro lado, notificar la brecha de datos personales a la Agencia es tan importante como informar sobre la misma a las personas afectadas. Esta comunicación, sobre todo en casos de riesgo alto, es clave para que las personas afectadas puedan valorar el riesgo de acuerdo con sus circunstancias particulares, y tomar las acciones que consideren apropiadas. En este sentido, los responsables que notificaron una brecha de datos personales a la Agencia emitieron en 2025 más de 200 millones de comunicaciones por existencia de alto riesgo. La comunicación es un elemento clave para determinar la respuesta diligente del responsable, y su negativa a comunicar a las personas afectadas es un factor prioritario para trasladar a los servicios de inspección de la Agencia una brecha de datos personales.
En todo caso, la Agencia recuerda a las organizaciones la importancia de implementar medidas de protección de datos antes de que se produzca una brecha de datos personales (minimización de datos, borrado o anonimización temprana, bloqueo, segmentación, etc.), además de estar preparadas para la gestión de la misma si llegase a materializarse.
Herramientas de ayuda para los responsables
La Agencia ofrece varias herramientas para ayudar en la toma de decisiones a las organizaciones que puedan sufrir una brecha de datos personales. Asesora Brecha ayuda a valorar la obligación de notificar sin dilación indebida a la Agencia y Comunica-Brecha RGPD, presta asistencia para decidir si las organizaciones deben comunicar la brecha de datos a las personas afectadas.
Comentarios
Aviso
