L'Agència Espanyola de Protecció de Dades ha rebut 2.765 notificacions de bretxes de dades personals el 2025, una xifra que reflecteix la magnitud dels incidents de seguretat que afecten tant a empreses com a administracions a Catalunya i la resta de l'Estat. El 80% d'aquestes notificacions correspon al sector privat, mentre que el 20% restant prové del sector públic.
Onze casos sota investigació per severitat alta
De totes les bretxes notificades, només onze han estat traslladades per a investigació addicional en presentar indicis de falta de diligència per part de les organitzacions responsables. Aquestes situacions es consideren de severitat alta i estan sota anàlisi per determinar possibles responsabilitats o incompliments del Reglament General de Protecció de Dades.
L'article 33 del RGPD obliga a notificar a l'autoritat de control competent qualsevol bretxa de dades personals quan hi hagi un risc probable per a les persones afectades. En aquest context, la negativa a comunicar als afectats és un dels factors que més pes té a l'hora de traslladar els casos als serveis d'inspecció de l'Agència.
Ciberincidents i accés no autoritzat, principals causes
Les bretxes que han impactat un major nombre de persones el 2025 estan relacionades amb ciberincidents de tipus ransomware i amb intrusions en sistemes d'informació que han permès l'exfiltració de grans volums de dades personals. Els ciberatacs a encarregats del tractament i a grans plataformes de gestió de relacions amb clients han provocat que un volum extraordinàriament alt de persones es vegi afectat.
La via d'entrada més habitual en aquests incidents ha estat l'accés a VPNs corporatives o aplicacions web mitjançant credencials compromeses d'usuaris. El segon factor d'autenticació es assenyala com la mesura més eficaç per evitar accessos no autoritzats en aquest tipus de bretxes.
Errors humans i comunicacions massives
A més dels ciberatacs, altres bretxes freqüents han estat relacionades amb l'enviament de dades personals a destinataris incorrectes o amb l'exposició accidental d'informació. El 2025, els responsables que van notificar una bretxa a l'Agència van emetre més de 200 milions de comunicacions a persones afectades per l'existència d'alt risc.
Recomanacions de l'Agència
L'Agència recorda a les organitzacions la importància d'implementar mesures de protecció de dades abans que es produeixi una bretxa. Entre les recomanacions hi figuren la minimització de dades, l'esborrat o anonimització primerenca, el bloqueig i la segmentació de la informació.
- 2.765 notificacions de bretxes de dades personals el 2025
- El 80% dels incidents correspon al sector privat
- Onze casos sota investigació per severitat alta
- Més de 200 milions de comunicacions emeses a afectats