- La AEPD ha recibido más de 2.700 notificaciones de brechas de datos personales, en su mayoría del sector privado.
- Los ciberataques con ransomware e intrusiones en sistemas son los incidentes que han afectado a más personas.
- Las organizaciones enviaron más de 200 millones de comunicaciones a afectados por brechas con alto riesgo.
- La notificación de brechas es una obligación del RGPD y una muestra de responsabilidad proactiva.
La Agencia Española de Protección de Datos ha confirmado que durante el último año ha recibido más de 2.700 notificaciones de brechas de datos personales, una cifra que refleja hasta qué punto los incidentes de seguridad que afectan a la información de los ciudadanos se han convertido en algo habitual para empresas y administraciones.
Este volumen de avisos pone sobre la mesa no solo el incremento de los ciberincidentes y fallos en el tratamiento de datos, sino también una mayor conciencia de las organizaciones sobre sus obligaciones legales cuando se produce un acceso no autorizado, una pérdida o una divulgación indebida de información personal.
Más de 2.700 brechas de datos notificadas a la AEPD
Según los datos facilitados por la Agencia, se han registrado 2.765 notificaciones de brechas de datos personales a lo largo del año, lo que supone un volumen muy significativo de incidentes puestos en conocimiento de la autoridad de control competente en materia de protección de datos en España.
Del total de notificaciones recibidas, aproximadamente el 80% procede del sector privado, mientras que el 20% restante corresponde al sector público. Esta diferencia evidencia que son sobre todo las empresas las que concentran el mayor número de incidentes, bien por su dimensión, por el volumen de información que manejan o por su exposición a ataques informáticos.
La AEPD subraya que esta cifra es un indicador del elevado número de situaciones en las que una brecha puede suponer un riesgo para los derechos y libertades de las personas: desde posibles fraudes, suplantaciones de identidad o extorsiones, hasta daños reputacionales o consecuencias laborales, económicas o sociales para los afectados.
Sin embargo, el hecho de que se notifiquen más brechas no significa necesariamente que haya una peor protección de datos, ya que también influye que las organizaciones estén más concienciadas y cumplan mejor con su deber de comunicar los incidentes a la autoridad de control y a los ciudadanos cuando procede.
Obligación de notificar: lo que exige el RGPD
La obligación de notificar este tipo de incidentes está recogida en el artículo 33 del Reglamento General de Protección de Datos (RGPD). Esta norma europea exige a los responsables del tratamiento comunicar sin dilación indebida a la autoridad de control competente cualquier brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de las personas físicas.
Desde la óptica de la AEPD, esta obligación forma parte de la llamada responsabilidad proactiva: no basta con cumplir la ley sobre el papel, sino que es necesario demostrar que se han adoptado medidas adecuadas antes, durante y después del incidente. Notificar en tiempo y forma es una forma clara de acreditar esa diligencia.
Conviene aclarar que notificar una brecha no implica automáticamente que la Agencia vaya a abrir un procedimiento sancionador. De hecho, en muchos casos la notificación se gestiona sin que derive en una investigación formal, especialmente cuando la organización ha reaccionado de manera adecuada, ha adoptado medidas correctoras y ha informado correctamente a las personas afectadas cuando era necesario.
De las 2.765 brechas comunicadas, solo once se han remitido a los servicios de inspección para un análisis más profundo. Estas son las que la AEPD considera de severidad alta, con indicios de falta de diligencia ya sea en las medidas preventivas implantadas antes del incidente o en la forma en que se gestionó la brecha una vez detectada.
Ciberataques, ransomware y exfiltración masiva de datos
Las brechas de datos que han afectado a un número más elevado de personas durante el año analizado están relacionadas principalmente con ciberincidentes de tipo ransomware y con intrusiones en sistemas de información que terminan en la extracción no autorizada de grandes volúmenes de datos personales.
En muchos de estos casos, los ataques se dirigen contra encargados del tratamiento, es decir, empresas que gestionan datos personales por cuenta de otras organizaciones. Un ejemplo especialmente sensible son las grandes plataformas de gestión de relaciones con clientes (CRM), que almacenan información de contacto, historiales comerciales y otros datos relevantes de millones de usuarios.
La AEPD destaca que algunas de estas brechas han afectado a un volumen extraordinariamente alto de ciudadanos, precisamente porque un solo proveedor comprometido puede arrastrar a multitud de empresas clientes y, con ellas, a todas las personas cuyos datos estaban alojados en esos sistemas.
El vector de entrada más habitual en este tipo de ataques es el acceso a redes privadas virtuales (VPN) corporativas o a aplicaciones web mediante credenciales de usuario comprometidas. En este contexto, la implantación de un segundo factor de autenticación se consolida como una de las medidas más eficaces para reducir el riesgo de intrusión, ya que dificulta enormemente el uso fraudulento de contraseñas robadas.
No obstante, la Agencia recuerda que la ciberseguridad no depende solo de una medida concreta, sino de un conjunto de controles técnicos y organizativos que deben aplicarse de forma coherente: gestión de parches y actualizaciones, segmentación de redes, copias de seguridad, control de accesos, formación al personal y respuesta rápida ante incidentes, entre otros.
No todo son ciberataques: errores humanos y fallos de gestión
Aunque los grandes ciberataques suelen acaparar los titulares, no todas las brechas de datos tienen su origen en sofisticadas campañas de delincuentes. Una parte importante de los incidentes notificados a la AEPD responde a errores humanos o fallos en los procesos internos de las organizaciones.
Entre las situaciones más frecuentes se encuentran los envíos de información personal a destinatarios equivocados, por ejemplo, correos electrónicos remitidos a otro cliente con documentación sensible, o cartas físicas que llegan al buzón de la persona incorrecta. También es habitual la exposición accidental de datos al mostrar información de personas que no deberían aparecer en un determinado listado o pantalla.
Estos casos demuestran que la protección de datos no es solo un asunto tecnológico, sino que depende en gran medida de cómo se diseñan los procedimientos y de la formación y concienciación del personal. Una política clara de minimización de datos, controles de revisión antes del envío de comunicaciones y herramientas que eviten errores masivos pueden reducir notablemente este tipo de incidentes.
La Agencia insiste en que incluso cuando la brecha se produce por un simple descuido, la organización debe analizar el impacto potencial sobre las personas afectadas, documentar lo sucedido y, si existen riesgos relevantes, notificarlo a la AEPD y a los ciudadanos afectados conforme establece el RGPD.
Más de 200 millones de comunicaciones a personas afectadas
Además de informar a la autoridad de control, los responsables del tratamiento están obligados a comunicar la brecha directamente a las personas afectadas cuando el incidente puede entrañar un riesgo alto para sus derechos y libertades. Esa comunicación permite que cada individuo pueda valorar su situación y adoptar las medidas que considere oportunas, como cambiar contraseñas, extremar precauciones frente a fraudes o revisar movimientos bancarios.
En el último año, las organizaciones que notificaron brechas a la AEPD han remitido más de 200 millones de comunicaciones a ciudadanos afectados por incidentes catalogados como de alto riesgo. Esta cifra da una idea del alcance que pueden tener algunas brechas, especialmente cuando afectan a grandes bases de datos de clientes, usuarios o abonados.
La Agencia considera que la forma en que se informa a las personas afectadas es un elemento clave para evaluar la diligencia de la organización. Facilitar mensajes claros, comprensibles y útiles, explicando qué ha ocurrido, qué datos se han visto comprometidos y qué recomendaciones se ofrecen, es tan importante como reaccionar rápido ante el incidente técnico.
En cambio, la negativa injustificada a comunicar una brecha a los afectados, pese a existir un riesgo alto, es uno de los factores que puede llevar a la AEPD a priorizar una investigación por posible incumplimiento de las obligaciones impuestas por el RGPD.
Prevención: medidas antes y después de la brecha
La experiencia acumulada por la AEPD con miles de notificaciones de brechas pone de manifiesto la importancia de adoptar medidas preventivas sólidas antes de que se materialice cualquier incidente. Entre las recomendaciones recurrentes figuran la minimización de los datos que se recogen y conservan, el borrado o anonimización temprana cuando la información ya no es necesaria y el bloqueo de datos para limitar su acceso interno.
Otras medidas clave pasan por una adecuada segmentación de sistemas y bases de datos, de modo que un incidente puntual no permita el acceso a toda la información de la organización, así como controles estrictos de privilegios, revisiones periódicas de seguridad y pruebas de resiliencia frente a ataques.
La Agencia insiste también en la necesidad de que las organizaciones estén preparadas para gestionar una brecha cuando, pese a todas las precauciones, se produzca. Esto implica contar con procedimientos internos claros para detectar el incidente, evaluar su gravedad, contenerlo, documentarlo y decidir si es necesario notificarlo y comunicarlo en los plazos previstos por la normativa.
En este contexto, disponer de planes de respuesta a incidentes, equipos especializados y canales de comunicación internos y externos bien definidos marca la diferencia entre una gestión diligente y una reacción improvisada que pueda agravar los daños para los afectados y para la propia organización.
El panorama que describen las cifras de la AEPD muestra un entorno en el que los incidentes de seguridad y los errores en el tratamiento de datos personales siguen siendo frecuentes, pero también un ecosistema en el que cada vez más organizaciones asumen su responsabilidad de notificar y de proteger a las personas afectadas, reforzando así la confianza en el uso de los datos y en el papel de las autoridades de control.
