La Agencia Española de Protección de Datos ha recibido 2.765 notificaciones de brechas de datos personales en 2025, una cifra que refleja la magnitud de los incidentes de seguridad que afectan tanto a empresas como a administraciones en Cataluña y el resto del Estado. El 80% de estas notificaciones corresponde al sector privado, mientras que el 20% restante proviene del sector público.
Once casos bajo investigación por severidad alta
De todas las brechas notificadas, solo once han sido trasladadas para investigación adicional al presentar indicios de falta de diligencia por parte de las organizaciones responsables. Estas situaciones se consideran de severidad alta y están bajo análisis para determinar posibles responsabilidades o incumplimientos del Reglamento General de Protección de Datos.
El artículo 33 del RGPD obliga a notificar a la autoridad de control competente cualquier brecha de datos personales cuando exista un riesgo probable para las personas afectadas. En este contexto, la negativa a comunicar a los afectados es uno de los factores que más peso tiene a la hora de trasladar los casos a los servicios de inspección de la Agencia.
Ciberincidentes y acceso no autorizado, principales causas
Las brechas que han impactado a un mayor número de personas en 2025 están relacionadas con ciberincidentes de tipo ransomware y con intrusiones en sistemas de información que han permitido la exfiltración de grandes volúmenes de datos personales. Los ciberataques a encargados del tratamiento y a grandes plataformas de gestión de relaciones con clientes han provocado que un volumen extraordinariamente alto de personas se vea afectado.
La vía de entrada más habitual en estos incidentes ha sido el acceso a VPNs corporativas o aplicaciones web mediante credenciales comprometidas de usuarios. El segundo factor de autenticación se señala como la medida más eficaz para evitar accesos no autorizados en este tipo de brechas.
Errores humanos y comunicaciones masivas
Además de los ciberataques, otras brechas frecuentes han estado relacionadas con el envío de datos personales a destinatarios incorrectos o con la exposición accidental de información. En 2025, los responsables que notificaron una brecha a la Agencia emitieron más de 200 millones de comunicaciones a personas afectadas por la existencia de alto riesgo.
Recomendaciones de la Agencia
La Agencia recuerda a las organizaciones la importancia de implementar medidas de protección de datos antes de que se produzca una brecha. Entre las recomendaciones figuran la minimización de datos, el borrado o anonimización temprana, el bloqueo y la segmentación de la información.
- 2.765 notificaciones de brechas de datos personales en 2025
- El 80% de los incidentes corresponde al sector privado
- Once casos bajo investigación por severidad alta
- Más de 200 millones de comunicaciones emitidas a afectados