La Memoria Anual 2025 de la Agencia Española de Protección de Datos confirma un cambio de ciclo en la supervisión de la privacidad. La AEPD no solo refleja un incremento de la actividad sancionadora y de las reclamaciones, sino también una evolución hacia un modelo de control más preventivo, tecnológico y basado en riesgo. Ante este escenario, las organizaciones tendrán que demostrar no solo que cumplen, sino que gestionan los riesgos de forma real, trazable y eficaz.

 

El documento sitúa la responsabilidad proactiva en el centro de la agenda empresarial. La Agencia pone el foco en la necesidad de documentar decisiones, realizar análisis de riesgos previos, reforzar las medidas técnicas y organizativas, y acreditar que los tratamientos de datos personales se han diseñado con garantías desde el inicio. Esta exigencia afecta tanto a grandes compañías como a pymes, entidades públicas, proveedores tecnológicos, encargados del tratamiento y organizaciones que operan con servicios digitales intensivos en datos. 

 

La AEPD también consolida una agenda marcada por la inteligencia artificial y las tecnologías emergentes. La Memoria se publica en un contexto de expansión del marco regulatorio europeo, con la inteligencia artificial, la biometría, la robótica, la futura identidad digital y las tecnologías cuánticas como ámbitos de especial atención. La Agencia no plantea la innovación como un problema en sí mismo, sino como un espacio que debe gobernarse con criterios de privacidad, seguridad, transparencia, supervisión humana y protección efectiva de derechos fundamentales.

 

 

 

Sanciones y brechas de seguridad 

 

El volumen sancionador de 2025 confirma una mayor exigencia regulatoria. La AEPD impuso 325 multas en resolución definitiva, por un importe total de 48.108.765 euros, frente a los 35.592.200 euros del ejercicio anterior. El incremento refleja no solo un mayor número de asuntos, sino también una mayor complejidad de los tratamientos analizados y un impacto creciente sobre los derechos y libertades de las personas. 

 

Las brechas de datos personales se consolidan como uno de los principales focos de supervisión. En 2025, la Agencia recibió 2.765 notificaciones de brechas de datos personales, de las cuales el 81% procedía del sector privado y el 19% del sector público. El número de interesados comunicados por brechas superó los 209 millones, lo que evidencia el alcance potencial de los incidentes de seguridad cuando afectan a grandes volúmenes de datos o a cadenas de proveedores tecnológicos. 

 

La Memoria identifica un patrón técnico especialmente relevante para las empresas. Las brechas con mayor impacto se relacionan con incidentes de ransomware, intrusiones en sistemas de información y exfiltración masiva de datos personales. En particular, la Agencia destaca los ataques a encargados del tratamiento y a grandes plataformas de gestión de relaciones con clientes, con accesos a VPN corporativas o aplicaciones web mediante credenciales comprometidas. 

 

La gestión de brechas no puede limitarse a la notificación a la autoridad. Debe incluir prevención, detección, respuesta, comunicación a afectados cuando proceda, análisis de causa raíz, corrección de vulnerabilidades y aprendizaje organizativo. La falta de evidencias sobre las medidas adoptadas antes, durante y después del incidente puede convertirse en un factor crítico en un expediente. Lo que deja una conclusión clave para las empresas, la ciberseguridad ya forma parte del cumplimiento en protección de datos. 

 

Para Yolanda González, Data Protection&Privacy Officer de Moeve y miembro del Comité Operativo del Data Privacy Institute de ISMS Forum, la mejor gestión de una brecha empieza antes de que se produzca. En su opinión, llegar preparado es esencial. “No basta con disponer de un procedimiento; es necesario realizar ejercicios de respuesta ante brechas de seguridad (simulacros de incidentes), conocer bien la normativa y haber construido previamente una red interna de confianza y coordinación entre privacidad, ciberseguridad, tecnología, negocio, comunicación y recursos humanos”, apunta. 

 

La gestión de una brecha exige cultura interna y capacidad de escalado rápido. Las personas de la organización deben saber que ante una posible brecha hay que informar con rapidez, sin miedo y sin ocultar errores. En una situación de crisis no es el momento de crear canales, explicar funciones o improvisar responsabilidades. La respuesta eficaz depende de que esos mecanismos existan antes del incidente. 

 

La brecha no termina con la notificación a la autoridad. Termina cuando el incidente se contiene, se comunica adecuadamente, se corrige la causa raíz y se incorporan aprendizajes para reducir la probabilidad de repetición. Esa visión exige colaboración entre distintas áreas y una comprensión de la privacidad como una cuestión de confianza, protección de personas y responsabilidad empresarial. 

 

 

 

El papel de los Delegados de Protección de Datos 

 

La figura del Delegado de Protección de Datos gana peso en un contexto de mayor presión regulatoria. El año 2025 cerró con 126.176 DPD comunicados ante la AEPD, de los cuales 116.007 corresponden al sector privado y 10.169 al sector público. Este crecimiento refleja una maduración progresiva del ecosistema de cumplimiento, aunque también pone de manifiesto la necesidad de reforzar la capacidad real de actuación, independencia y recursos de estos profesionales dentro de las organizaciones. 

 

Desde hace unos años, La Agencia Española de Protección de Datos (AEPD) ha publicado el registro de Delegados de Protección de Datos (DPD).  Este espacio de consulta, disponible en la Sede electrónica de la Agencia, permite a cualquier interesado conocer el contacto de los delegados de protección de datos comunicados a la AEPD. 

 

 

 

El DPD debe actuar como pieza de conexión entre cumplimiento, riesgo, seguridad y gobierno corporativo. 

 

El debate sobre el futuro Estatuto del Delegado de Protección de Datos refuerza esta tendencia. Desde el ecosistema profesional se viene reclamando un marco que contribuya a definir mejor derechos, deberes, independencia, recursos y estándares de actuación del DPD. Para ISMS Forum y el Data Privacy Institute, este debate es relevante porque permite avanzar hacia una función más sólida, reconocida y alineada con las necesidades reales de las organizaciones. 

 

Edison Hernández, DPO en WiZink Bank y colaborador activo del Data Privacy Institute, considera que un Estatuto del DPD contribuiría a reforzar institucionalmente esta función. En su opinión, designar un DPD y establecer una estructura de gobernanza de la privacidad no es suficiente si esa estructura no cuenta con recursos adecuados, capacidad de actuación y apoyo organizativo real. También permitiría diferenciar a los profesionales cualificados de quienes instrumentalizan la figura del DPD de forma poco rigurosa. 

 

 

 

Inteligencia artificial y perspectivas para 2026 

 

Los resultados de la Memoria también señalan que la inteligencia artificial será uno de los grandes ejes de supervisión y cumplimiento en 2026. La AEPD ha situado la IA dentro de su agenda estratégica y ha avanzado en iniciativas propias sobre uso responsable de IA generativa, innovación tecnológica con garantías y análisis de nuevas formas de tratamiento automatizado. Para las empresas, esto implica revisar no solo los sistemas de IA de alto riesgo bajo el Reglamento europeo de IA, sino cualquier solución que trate datos personales, genere perfiles, automatice decisiones o afecte a derechos de las personas. 

 

El reto empresarial será integrar privacidad, ciberseguridad y gobernanza de IA en un mismo marco operativo. La evaluación de impacto, la minimización de datos, la base jurídica, la transparencia, la supervisión humana, la seguridad del modelo, la trazabilidad de decisiones y la gestión de proveedores deberán abordarse de forma coordinada. La fragmentación entre áreas legales, técnicas y de negocio aumenta el riesgo de incumplimiento. 

 

Asimismo, la Memoria 2025 confirma que el estándar de diligencia se ha elevado. Argumentos defensivos clásicos como la falta de capacidad técnica, la dependencia del proveedor, la inexistencia de alto riesgo o la ausencia de intención infractora pierden fuerza si la organización no puede demostrar una gestión preventiva adecuada. En el nuevo entorno regulatorio, la clave no es solo haber actuado, sino poder acreditar cómo, cuándo, con qué criterios y con qué evidencias. 

 

Desde ISMS Forum y el Data Privacy Institute, se anima a las empresas a integrar la privacidad como una función de gobierno corporativo, vinculada a la gestión del riesgo, la ciberseguridad, la trazabilidad y la confianza. Las empresas necesitan pasar de un cumplimiento documental a un modelo basado en riesgo, evidencias, coordinación interna y preparación operativa. La Memoria de la AEPD no debe leerse únicamente como un balance sancionador, sino como una hoja de ruta sobre las prioridades regulatorias que marcarán la agenda de privacidad, ciberseguridad e inteligencia artificial en los próximos meses. 

 

La responsabilidad proactiva, es la capacidad de demostrar que la organización conoce sus tratamientos, evalúa sus riesgos, protege los datos, gobierna sus proveedores, responde ante incidentes y adapta sus controles a un entorno tecnológico en transformación.