La AEPD recibió en 2025 más de 2.700 notificaciones de brechas de datos personales

Ene 27, 2026

Esta cifra es un indicador del elevado número de ciberincidentes y otros casos en los que una brecha puede llegar a constituir un riesgo para los derechos y libertades de las personas
La Agencia Española de Protección de Datos (AEPD) ha recibido 2.765 notificaciones de brechas de datos personales en 2025, una cifra que pone de manifiesto el elevado número de ciberincidentes y otros casos en los que una brecha puede llegar a constituir un riesgo para los derechos y libertades de las personas. De las notificaciones recibidas, el 80% corresponde al sector privado y el 20% al sector público.
Brecha de datos digitales y AEPD_img

 

El artículo 33 del Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que estas constituyan un riesgo para las personas afectadas. Esta obligación forma parte de la responsabilidad proactiva del responsable del tratamiento de datos y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo por parte de la Agencia. De hecho, notificar en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción. De las 2.765 brechas de datos personales notificadas solo once se han trasladado para investigación adicional, al tratarse de brechas de severidad alta en las que se han apreciado indicios de falta de diligencia de la organización en la respuesta a la brecha o en las medidas previas.

Las brechas que han afectado a un número más elevado de personas en 2025 son las relacionadas con ciberincidentes de tipo ransomware y las intrusiones en sistemas de información que resultan en exfiltración de grandes volúmenes de datos personales. En particular, han afectado a un volumen extraordinariamente alto de personas las brechas producidas por ciberataques a encargados del tratamiento y concretamente a grandes plataformas de gestión de relaciones con los clientes (CRM). La vía de entrada habitual en estas grandes brechas de datos personales es el acceso a VPNs corporativas o aplicaciones web mediante credenciales comprometidas de usuarios, siendo el segundo factor de autenticación la medida más eficaz para evitarlo. Sin embargo, no todas las brechas de datos personales son causadas por ciberincidentes. Otras brechas frecuentes han estado relacionadas con el envío de datos personales a destinatarios incorrectos y con mostrar datos personales por error.

En todo caso, la Agencia recuerda a las organizaciones la importancia de implementar medidas de protección de datos antes de que se produzca una brecha de datos personales (minimización de datos, borrado o anonimización temprana, bloqueo, segmentación, etc.), además de estar preparadas para la gestión de la misma si llegase a materializarse.

Se informa a nuestros clientes que con motivo de la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, este Despacho a procedido a adaptar su Policia de Protección Privacidad a la nueva normativa, para lo que cualquier cliente que desee consultar, modificar o anular sus datos de carácter personal cedidos con anterioridad conforme a sus relaciones profesionales con este Despacho, puede remitir su solicitud al correo electrónico info@bermejoialegret.com

ACEPTAR
Aviso de cookies