Notícies de Protecció de Dades i Privacitat

2.765 bretxes de dades notificades a Espanya el 2025: només 11 casos derivats a investigació

En l'últim any, s'han enviat més de 200 milions de comunicacions a persones afectades per bretxes considerades d'alt risc

01 de febrer de 2026 a les 06:05h
2.765 bretxes de dades notificades a Espanya el 2025: només 11 casos derivats a investigació
2.765 bretxes de dades notificades a Espanya el 2025: només 11 casos derivats a investigació

L'Agència Espanyola de Protecció de Dades ha rebut durant el 2025 un total de 2.765 notificacions de bretxes de dades personals a tot l'Estat. El 80% d'aquests incidents procedeixen del sector privat, mentre que el 20% restant correspon a organismes públics. Només onze dels casos registrats han estat derivats a actuacions d'investigació addicionals per part de l'autoritat.

Impacte i comunicacions a afectats

En l'últim any, s'han enviat més de 200 milions de comunicacions a persones afectades per bretxes considerades d'alt risc. L'article 33 del Reglament General de Protecció de Dades obliga a notificar qualsevol incident que pugui suposar un risc per als drets dels ciutadans. L'Agència subratlla que informar d'un incident és un deure legal i una mostra de diligència per part de les entitats responsables.

Entre els episodis més greus registrats el 2025 destaquen els relacionats amb atacs de ransomware i l'exfiltració de grans volums de dades. L'Agència ha identificat que una de les vies d'accés més habituals en aquests casos ha estat l'ús de credencials compromeses, especialment en serveis exposats a internet o accessos remots mitjançant VPN. L'absència d'autenticació multifactor continua sent un dels factors que més faciliten aquest tipus d'intrusions

Errors humans i eines de prevenció

Una part significativa de les bretxes té el seu origen en errors humans. Entre els més freqüents es troben l'enviament d'informació a destinataris incorrectes, la publicació accidental de dades o una configuració inadequada de sistemes interns. Per facilitar la gestió d'incidents, l'Agència posa a disposició de les organitzacions eines específiques com Asesora Brecha i Comunica-Brecha RGPD.

Actuació de l'Agència i enfocament en la diligència

L'Agència recalca que el focus de la seva actuació no se situa en penalitzar els qui notifiquen, sinó en aquells supòsits en què existeixen indicis de falta de diligència o d'incompliment de les obligacions bàsiques de protecció de dades. Només una mínima part dels casos acaba sota investigació addicional.