La Memoria de la AEPD correspondiente al ejercicio 2025 incorpora algunas de las afirmaciones más claras que esta autoridad ha hecho en años sobre el binomio ciberseguridad–protección de datos. No es un texto sistemático sobre la materia, pero la lectura cruzada de sus apartados dibuja un mapa nítido de lo que la AEPD considera estándar exigible en 2026. Conviene leerlo así, como un manual implícito de diligencia.
Identifica como ejes problemáticos la posible futura identidad digital y el uso excesivo de datos biométricos, la retención de información, el tratamiento sin análisis de riesgos previos, las tecnologías avanzadas de monitorización y la irrupción de la inteligencia artificial, la robótica y, anticipa, las tecnologías cuánticas. Añade que la posición estructural de los grandes operadores digitales intensifica los riesgos para la privacidad y dificulta un control efectivo.
2. Las cifras: el ciberincidente como protagonista del año
La Agencia recibió 2.765 notificaciones de brechas ex art. 33 RGPD en 2025 — el 81% del sector privado y el 19% del público —, con una cifra agregada de afectados que supera los 209 millones, la más alta de la serie histórica.
Los datos verdaderamente reveladores están en la traducción sancionadora. Los procedimientos sancionadores derivados de brechas pasaron de 30 en 2024 a 77 en 2025 (+157%), con un importe agregado de 19,8 millones de euros (+51%). En el ranking de áreas con más procedimientos sancionadores resueltos, las «quiebras de seguridad» crecen un +229% interanual. La AEPD ha decidido convertir las brechas en un foco prioritario de su actividad sancionadora.
3. El vector de ataque dominante y la afirmación que cambia el estándar de diligencia
La Memoria identifica con precisión el patrón causal del año. Las brechas con más afectados comparten un perfil técnico recurrente: ciberataques tipo ransomware e intrusiones con exfiltración masiva, ejecutados contra encargados del tratamiento y, muy en particular, contra grandes plataformas CRM. El vector de entrada habitual, dice la Agencia textualmente, es «el acceso a VPNs corporativas o aplicaciones web mediante credenciales comprometidas de personas usuarias».
A continuación viene la afirmación que va a tener vida propia en los próximos meses: «siendo el segundo factor de autenticación la medida más eficaz para evitarlo». Una frase aparentemente banal que, leída en clave doctrinal, supone que la AEPD acaba de convertir el doble factor de autenticación (MFA) en estándar de diligencia razonablemente exigible ex art. 32 RGPD para cualquier acceso remoto a sistemas que contengan datos personales. No implementar MFA dejará de ser un déficit técnico discutible: será un argumento sancionador directo en cualquier procedimiento por brecha causada por credenciales comprometidas.
La Memoria añade, al hilo del caso Cecotec, que la decisión del responsable de «no comunicar la brecha por considerar que no concurría alto riesgo» se ve fatalmente debilitada cuando los datos personales no estaban cifrados ni seudonimizados. Combinando ambas afirmaciones, cifrado en reposo + seudonimización + MFA en accesos remotos queda configurado como el mínimo razonable que la AEPD esperará encontrar en cualquier sistema corporativo cuando investigue una brecha en 2026.
4. Cadena de encargados y corresponsabilidad: dos doctrinas que se endurecen
La AEPD no se limita a sancionar al responsable cuyo encargado ha sufrido el ciberataque: investiga sistemáticamente también al encargado y al subencargado. Varias resoluciones de 2025 condenan al responsable principal por no haber documentado específicamente la diligencia en la selección y supervisión del encargado: no basta con cláusulas genéricas en el contrato del art. 28 RGPD; hay que acreditar análisis de riesgos individualizado, medidas concretas exigidas y controles de auditoría aplicados. Y si el encargado subcontrata sin autorización expresa y previa del responsable, es sancionado autónomamente.
Más relevante aún: cuando la relación contractual está mal definida, la AEPD recalifica la figura. Varias resoluciones del año han transformado en corresponsabilidad ex art. 26 RGPD relaciones etiquetadas contractualmente como encargo del tratamiento, al constatar que ambas partes determinaban conjuntamente fines y medios. El test es funcional, no nominal. Conviene revisar hoy los contratos vigentes con tres preguntas: ¿quién decide los fines?, ¿quién decide los medios?, ¿quién explota los datos para fines propios? Si las respuestas no apuntan exclusivamente al «responsable», el contrato debe recalificarse antes de que lo haga la AEPD.
5. Cinco recomendaciones operativas para 2026
Primero. Implantar MFA en todos los accesos remotos a sistemas con datos personales. Su ausencia podrá ser argumento sancionador.
Segundo. Auditar la cadena de encargados y subencargados con criterios documentables: análisis específico de riesgos del encargado, cifrado en reposo de los datos transferidos, autorización formal de subencargos, actualización de contratos a la disposición transitoria única LOPDGDD. La cláusula genérica ya no protege.
Tercero. Revisar las relaciones etiquetadas como «encargo del tratamiento» para verificar que no encubren una corresponsabilidad ex art. 26 RGPD. Si ambas partes determinan fines y medios, hay corresponsabilidad, y la AEPD recalificará.
Cuarto. Documentar la evaluación de riesgo del art. 34 RGPD ante cualquier brecha, con uso explícito de la herramienta Comunica-Brecha de la AEPD y conservación de la salida.
Quinto. Tratar la EIPD como precondición ineludible y previa a cualquier tratamiento con alto riesgo. La resolución contra AENA (10 millones de euros por una sola infracción del art. 35 RGPD) lo recuerda con contundencia.
Cierre
La Memoria AEPD 2025 confirma lo que muchos profesionales del sector veníamos intuyendo: la Agencia está consolidando una doctrina sancionadora sobre ciberseguridad que va más allá del clásico art. 32 RGPD y abarca toda la cadena de tratamiento, las decisiones de notificación y comunicación, y la propia arquitectura organizativa del responsable. El estándar de diligencia exigible se ha elevado y los argumentos defensivos clásicos «el sistema no permite otra cosa», «consideramos que no había alto riesgo», «fue el encargado quien sufrió el ataque» están dejando de funcionar.