La AEPD recibió en 2025 más de 2.700 notificaciones de brechas de datos personales, el 80% del sector privado

La Agencia Española de Protección de Datos (AEPD) ha reportado que en 2025 se emitieron más de 200 millones de comunicaciones a raíz de la existencia de brechas de datos personales consideradas de alto riesgo, según consignó el organismo en su último informe anual. Este elevado volumen de notificaciones refleja la gravedad de los incidentes y la amplia repercusión que tuvieron sobre la privacidad de las personas y las obligaciones legales de las organizaciones responsables. La noticia principal, tal como destacó la AEPD, radica en el notable incremento de exposiciones de información sensible, con predominancia de causas ligadas a ciberataques y fallos en plataformas empresariales.

Según detalló la agencia y publicó el medio de referencia, durante el año 2025 se recibieron un total de 2.765 notificaciones de brechas de datos personales. El ochenta por ciento de estos incidentes involucraron al sector privado y el veinte por ciento al sector público. El organismo interpretó estas cifras como un reflejo del alto número de situaciones en las que los datos de carácter personal se han visto comprometidos, generando riesgos significativos para los derechos y libertades de los afectados.

En el desglose de los incidentes, la AEPD precisó que once de las brechas detectadas se consideraron de severidad alta, por lo que fueron trasladadas a una fase de investigación adicional. Esta decisión obedeció a la presencia de indicios sobre la falta de diligencia por parte de las organizaciones, ya sea en su respuesta ante la brecha o en las medidas preventivas implementadas previamente. El organismo subrayó la importancia de analizar estos casos en mayor profundidad por la posible repercusión en la protección de datos y la seguridad de la información.

Los informes de la AEPD revelaron que las brechas con mayor número de personas afectadas estuvieron relacionadas con ciberincidentes, especialmente ataques de ransomware e intrusiones en sistemas de información con objetivo de extraer grandes cantidades de datos personales. Tanto las empresas que gestionan relaciones con clientes (CRM) como otros encargados del tratamiento de datos resultaron especialmente vulnerables, identificándose un volumen "extraordinariamente alto" de afectados en estos casos, según informó la agencia.

La vía de acceso más frecuente utilizada en estos ataques consistió en el ingreso a redes privadas virtuales (VPN) corporativas o a aplicaciones web. Estos accesos, de acuerdo con la AEPD, se facilitaron por el uso de credenciales comprometidas de usuarios legítimos. A este respecto, el organismo remarcó que la utilización del segundo factor de autenticación representa una barrera eficaz, recomendando su implementación para reducir la posibilidad de accesos no autorizados y la consiguiente exposición de datos.

El informe presentado por la AEPD también contempló brechas de datos personales cuyos orígenes no estuvieron asociados a ciberincidentes. Entre estos casos se identificaron errores humanos, como el envío de información personal a destinatarios erróneos o la exposición accidental de datos a través de sistemas o documentos accesibles por terceros. Estos fallos, aunque de naturaleza distinta a los ataques informáticos, también conllevaron riesgos para la privacidad y generaron la obligación de notificar a las personas potencialmente afectadas.

Según detalló el órgano regulador, la notificación de estas incidencias resultó obligatoria por el alto riesgo para las personas. Las más de 200 millones de comunicaciones remitidas durante 2025 incluyeron avisos a individuos cuyos datos pudieron verse expuestos, ajustándose al marco normativo que exige a los responsables poner en conocimiento a los afectados ante situaciones en las que su privacidad o sus derechos fundamentales pudieran estar comprometidos.

El balance elaborado por la AEPD mostró que la mayoría de los incidentes notificados en el periodo analizado se originaron en entidades privadas, lo que según el organismo obedece al volumen de datos gestionados y al uso intensivo de plataformas tecnológicas por parte de este sector. En cuanto al sector público, si bien representa un porcentaje menor, también se vieron comprometidos datos en instituciones estatales y organismos vinculados.

Asimismo, el organismo reiteró la necesidad de adoptar medidas técnicas y organizativas más robustas como parte de la prevención. La agencia remarcó que el segundo factor de autenticación propone una barrera significativa frente a accesos indebidos y recomendó su uso tanto en el sector privado como en el público. Igualmente, la capacitación del personal y la revisión periódica de los sistemas de tratamiento de datos aparecen como estrategias “esenciales” para minimizar los riesgos de filtraciones accidentales.

En el análisis de las motivaciones y consecuencias de las brechas más graves, la AEPD vinculó los ataques de ransomware y la exfiltración masiva de datos personales con la actividad de grupos cibercriminales que buscan explotar vulnerabilidades en grandes plataformas empresariales. Este tipo de incidentes no solo implica un riesgo inmediato para la privacidad de los afectados, sino que también expone a las empresas a sanciones, reclamaciones y afectaciones reputacionales, según añadió el informe difundido por la agencia.

Los datos recopilados permitieron a la AEPD identificar tendencias en la naturaleza y frecuencia de los incidentes, permitiendo establecer alertas tempranas e impulsar mejoras normativas y tecnológicas. El organismo concluyó que la respuesta efectiva ante brechas de seguridad, la información transparente a los afectados y la rápida investigación de los casos más severos constituyen aspectos centrales en la protección de los datos personales en España, según publicó la propia agencia.