La Agencia Española de Protección de Datos ha recibido durante 2025 un total de 2.765 notificaciones de brechas de datos personales en todo el Estado. El 80% de estos incidentes proceden del sector privado, mientras que el 20% restante corresponde a organismos públicos. Solo once de los casos registrados han sido derivados a actuaciones de investigación adicionales por parte de la autoridad.
Impacto y comunicaciones a afectados
En el último año, se han enviado más de 200 millones de comunicaciones a personas afectadas por brechas consideradas de alto riesgo. El artículo 33 del Reglamento General de Protección de Datos obliga a notificar cualquier incidente que pueda suponer un riesgo para los derechos de los ciudadanos. La Agencia subraya que informar de un incidente es un deber legal y una muestra de diligencia por parte de las entidades responsables.
Entre los episodios más graves registrados en 2025 destacan los relacionados con ataques de ransomware y la exfiltración de grandes volúmenes de datos. La Agencia ha identificado que una de las vías de acceso más habituales en estos casos ha sido el uso de credenciales comprometidas, especialmente en servicios expuestos a internet o accesos remotos mediante VPN. La ausencia de autenticación multifactor sigue siendo uno de los factores que más facilitan este tipo de intrusiones.
Errores humanos y herramientas de prevención
Una parte significativa de las brechas tiene su origen en errores humanos. Entre los más frecuentes se encuentran el envío de información a destinatarios incorrectos, la publicación accidental de datos o una configuración inadecuada de sistemas internos. Para facilitar la gestión de incidentes, la Agencia pone a disposición de las organizaciones herramientas específicas como Asesora Brecha y Comunica-Brecha RGPD.
Actuación de la Agencia y enfoque en la diligencia
La Agencia recalca que el foco de su actuación no se sitúa en penalizar a quienes notifican, sino en aquellos supuestos en los que existen indicios de falta de diligencia o de incumplimiento de las obligaciones básicas de protección de datos. Solo una mínima parte de los casos acaba bajo investigación adicional.