El artículo 33 del Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que estas constituyan un riesgo para las personas afectadas.

De las 2.765 brechas de datos personales notificadas, solo once se han trasladado para investigación adicional, al tratarse de agujeros de severidad alta en las que se han apreciado indicios de falta de diligencia de la organización en la respuesta a la brecha o en las medidas previas.

Las brechas que afectaron a un número más elevado de personas en 2025 fueron las relacionadas con ciberincidentes de tipo ransomware y las intrusiones en sistemas de información que resultan en exfiltración de grandes volúmenes de datos personales.

En particular, perjudicaron a un volumen extraordinariamente alto de personas las brechas producidas por ciberataques a encargados del tratamiento y concretamente a grandes plataformas de gestión de relaciones con los clientes (CRM). La vía de entrada habitual en estas grandes brechas de datos personales es el acceso a VPNs corporativas o aplicaciones web mediante credenciales comprometidas de usuarios, siendo el segundo factor de autenticación la medida más eficaz para evitarlo. Sin embargo, no todas las brechas de datos personales fueron causadas por ciberincidentes. Otras brechas frecuentes estuvieron relacionadas con el envío de datos personales a destinatarios incorrectos y con mostrar datos personales por error.

Los responsables que notificaron una brecha de datos personales a la Agencia emitieron en 2025 más de 200 millones de comunicaciones por existencia de alto riesgo.

La AEPD recuerda que la comunicación es un elemento clave para determinar la respuesta diligente del responsable, y su negativa a comunicar a las personas afectadas es un factor prioritario para trasladar a los servicios de inspección de la Agencia una brecha de datos personales.