El año 2025 ha sido un punto de inflexión en materia de brechas de datos personales en España. Los datos publicados por la Agencia Española de Protección de Datos (AEPD) reflejan no solo la intensidad de los incidentes de seguridad digital sino también el grado de concienciación y responsabilidad de las organizaciones ante su obligación de notificación bajo el Reglamento General de Protección de Datos (RGPD).
Subida de notificaciones: más de 2.700 brechas reportadas
En 2025, la AEPD recibió un total de 2.765 notificaciones de brechas de datos personales, situando la cifra en un nivel históricamente alto. Estas notificaciones no implican necesariamente una sanción, sino que constituyen la obligación legal de comunicar a la autoridad de control los incidentes que puedan suponer un riesgo para los derechos y libertades de las personas.
La mayor parte de estas brechas se originó en el sector privado (80 %), debido al gran volumen de datos que gestiona y a la intensidad con la que se utilizan tecnologías digitales en este ámbito.
Ciberataques y vectores de riesgo
Aunque en años anteriores muchas brechas tenían un origen operativo (como errores humanos o envíos accidentales de información), 2025 estuvo marcado por ciberincidentes sofisticados, especialmente:
- Ataques de ransomware, en los que los ciberdelincuentes cifran información crítica o exfiltran grandes volúmenes de datos.
- Intrusiones en sistemas de información, con exfiltración de datos personales.
- Accesos no autorizados mediante credenciales comprometidas, especialmente a redes corporativas (VPN) y plataformas de gestión de relaciones con clientes (CRM).
Este patrón evidencia que muchos incidentes no requieren técnicas extremadamente avanzadas, sino que se aprovechan de fallos básicos de higiene digital, como contraseñas débiles o la ausencia de mecanismos de autenticación robustos.
Más de 200 millones de comunicaciones a afectados
Un dato especialmente revelador es el volumen de comunicaciones emitidas a personas afectadas en los casos en que la brecha implicaba un riesgo alto. En 2025 se superaron los 200 millones de comunicaciones, una cifra que casi duplicó los datos de años anteriores y refleja la gravedad de los incidentes de mayor impacto.
Notificar no es sinónimo de sancionar
Un aspecto esencial que subraya la AEPD es que la notificación de una brecha no implica automáticamente una sanción. De las 2.765 notificaciones registradas, solo una minoría (aproximadamente 0,4 %) dio lugar a una investigación formal por indicios de falta de diligencia. Esto pone de manifiesto que la diligencia en cumplir con las obligaciones de notificación es, en sí misma, una forma de responsabilidad proactiva conforme al RGPD.
Claves para reducir el riesgo y mejorar la gestión
Los datos de 2025 ofrecen varias lecciones estratégicas para organizaciones y profesionales del derecho y la seguridad:
- Implantar autenticación multifactor (MFA) para dificultar accesos no autorizados, especialmente cuando se emplean credenciales legítimas comprometidas.
- Minimizar y segmentar datos, reduciendo la exposición en caso de brecha.
- Formación continua de equipos para evitar errores humanos básicos, que siguen siendo una causa recurrente de incidentes.
- Contar con mecanismos de respuesta y comunicaciones eficientes, tanto hacia la autoridad de control como hacia los afectados, para cumplir plazos y criterios del RGPD.
La evolución de las brechas de datos en España en 2025 pone de manifiesto un entorno cada vez más exigente en términos de ciberseguridad y cumplimiento normativo. Si bien la notificación de incidentes es ahora más habitual y representa un avance en la cultura del cumplimiento, los vectores de ataque más frecuentes y el elevado número de datos afectados subrayan la necesidad de medidas preventivas robustas y una gestión proactiva del riesgo.
