GDPR 2025: La AEPD endurece su postura ante las brechas de datos y sanciones

El 2025 no va a ser el año en que la Agencia Española de Protección de Datos (AEPD) se tome un respiro. Si alguien en compliance aún cree que el RGPD es solo una cuestión de políticas en un cajón, que se prepare para una ducha fría: la AEPD ha decidido que las brechas de datos ya no se despachan con una notificación y una disculpa. El regulador español, tradicionalmente percibido como menos agresivo que sus homólogos irlandeses o franceses, ha cambiado de tono y de método. Ahora, la vigilancia es más tecnológica, las inspecciones más incisivas y las sanciones —cuando llegan— más difíciles de discutir.

La nueva realidad: menos excusas, más inspecciones

¿Qué ha cambiado realmente en la actitud de la AEPD? Para empezar, el regulador ha dejado claro que la tolerancia frente a la "fatiga de cumplimiento" se ha evaporado. Las cifras lo dicen todo: en 2024, las reclamaciones han crecido en torno a un 60% respecto a 2022, y el número de procedimientos sancionadores ha seguido la estela. Pero la estadística es solo la punta del iceberg.

Lo relevante es el cambio de enfoque: la AEPD ha invertido en herramientas de supervisión automatizada, ha reforzado su personal técnico y ha comenzado a exigir pruebas objetivas de cumplimiento, no solo declaraciones de buenas intenciones. Así, la típica respuesta corporativa de "hemos tomado medidas razonables" ya no basta. Ahora, el regulador pide evidencias: logs de acceso, informes de auditoría, pruebas de cifrado efectivo, análisis forenses de incidentes y, por supuesto, una trazabilidad completa de las decisiones tomadas antes, durante y después de una brecha.

El cambio no es solo cuantitativo, sino cualitativo. La AEPD ha implementado sistemas de crawling automatizado para detectar posibles fugas de datos en la dark web, monitoriza foros y canales de Telegram donde se venden bases de datos españolas y, en colaboración con la CNMC y el INCIBE, cruza información sobre incidentes críticos en infraestructuras esenciales. Si antes la AEPD esperaba a que le llegara la notificación, ahora sale a buscar la brecha antes de que la empresa la reconozca. Y cuando la encuentra, el margen de maniobra se reduce a cero.

Brechas de datos: del susto a la autopsia forense

Hasta hace poco, la notificación de una brecha de datos (art. 33 y 34 del RGPD) era vista por muchas empresas como un trámite administrativo. Se notificaba a la AEPD, se informaba a los afectados —si tocaba— y se esperaba lo mejor. Esa época se ha terminado.

Hoy, cada notificación es el inicio de una investigación. La AEPD ya no se conforma con saber que "se ha producido un acceso no autorizado"; quiere saber cómo, cuándo, por qué y, sobre todo, qué controles fallaron. ¿Se aplicó cifrado conforme al art. 32? ¿Hubo un análisis de riesgos documentado? ¿Se revisaron y actualizaron los contratos con encargados de tratamiento tras el incidente? La pregunta clave ya no es solo qué pasó, sino por qué no se evitó.

En la práctica, esto significa que las empresas deben tener listo un expediente técnico detallado antes de notificar. Un simple correo a la AEPD diciendo "hemos sufrido un incidente" es la mejor manera de invitar a una inspección presencial. Y si la respuesta a "¿tienen un registro de actividades actualizado?" es un silencio incómodo, el desenlace es previsible.

La AEPD ha comenzado a exigir, en los expedientes sobre brechas, una cadena de custodia digital de las evidencias, informes de análisis de malware (cuando procede), y, en casos complejos, la entrega de logs en bruto para su análisis independiente. No basta con decir que los datos estaban cifrados; hay que demostrar qué algoritmo se usó, en qué fecha se activó el cifrado, y quién tenía acceso a las claves. Si el cifrado era reversible o las claves estaban almacenadas junto a los datos, la sanción está servida.

Otro punto que ha ganado peso es la gestión de la comunicación con los afectados. La AEPD revisa el contenido de las notificaciones, exige claridad, ausencia de tecnicismos y la inclusión de medidas concretas que los afectados pueden tomar para protegerse. Los avisos genéricos o ambiguos, tipo "hemos detectado una incidencia que podría afectar a sus datos", ya no son aceptables. La transparencia, aquí, es un criterio de auditoría en sí mismo.

La gestión de riesgos deja de ser papel mojado

El RGPD siempre ha exigido una gestión de riesgos real (art. 32 y 35), pero hasta ahora, muchas organizaciones se limitaban a reciclar matrices de riesgos genéricas o a encargar una DPIA (Evaluación de Impacto en Protección de Datos) para salir del paso. La AEPD ha dejado claro que esta etapa ha terminado.

En 2025, los inspectores piden ver:

• Evaluaciones de impacto específicas por tratamiento, no plantillas copiadas de internet.
• Registros de controles técnicos y organizativos actualizados (cifrado, control de acceso, monitorización de logs, etc.).
• Pruebas de que los riesgos identificados han sido realmente mitigados y no solo anotados en un Excel olvidado.
• Revisión y actualización periódica de las medidas técnicas, especialmente tras incidentes o cambios en los sistemas.

¿La ironía? Muchas empresas que han invertido millones en tecnología siguen fallando en lo esencial: documentar de verdad lo que hacen y por qué lo hacen. El "cumplimiento performativo" —ese arte de aparentar que todo está bajo control— ya no cuela.

En auditorías recientes, la AEPD ha preguntado por la frecuencia real de las revisiones de riesgos, solicitando actas de reuniones de comités de seguridad, evidencias de revisiones tras cambios tecnológicos (por ejemplo, migraciones a la nube) y planes de acción con responsables asignados y fechas de cierre. Si el plan de acción lleva abierto dos años y nadie sabe explicarlo, la conclusión es clara: el riesgo no se gestiona, se aparca.

Un criterio de auditoría que ha ganado peso es la trazabilidad: la AEPD quiere ver la cadena completa desde la identificación del riesgo hasta la implantación y verificación de la medida. Si falta un eslabón, la defensa se cae.

La AEPD y el arte de la sanción quirúrgica

Si algo ha cambiado en la AEPD, es su capacidad para modular las sanciones según el grado de negligencia y la actitud de la empresa. Ya no se trata solo de la cuantía económica (aunque las multas pueden superar los 10 millones de euros en los casos más graves, art. 83 RGPD), sino del mensaje que se envía al sector.

En 2024-2025, hemos visto sanciones ejemplares por:

• No notificar una brecha en el plazo de 72 horas.
• Carecer de pruebas de cifrado efectivo de datos sensibles.
• No informar adecuadamente a los afectados, o hacerlo con lenguaje opaco.
• Delegar la gestión de la brecha en proveedores sin supervisión real.

Pero lo más novedoso es la tendencia a imponer medidas correctivas adicionales: auditorías externas obligatorias, prohibición temporal de determinados tratamientos, o incluso la obligación de informar públicamente sobre los fallos detectados. La sanción ya no es solo económica; es reputacional y operativa.

Un ejemplo reciente: una fintech española sufrió una fuga masiva de datos biométricos. La AEPD no solo impuso una multa millonaria, sino que obligó a la empresa a publicar durante 30 días en su web un aviso detallando el incidente y las medidas adoptadas. El impacto reputacional fue inmediato: fuga de clientes, caída de valor y un efecto dominó en la contratación de nuevos proveedores.

Otro caso paradigmático: una aseguradora fue sancionada con una auditoría externa anual durante tres años, a costa de la propia compañía, por no haber revisado los accesos privilegiados tras una brecha. El mensaje es claro: quien no aprende, repite curso, pero pagando la matrícula.

Controles técnicos y organizativos: del PowerPoint a la realidad

El art. 32 del RGPD es claro: las medidas de seguridad deben ser "apropiadas" y "eficaces". Pero ¿qué significa eso en 2025, cuando la AEPD puede pedirte pruebas técnicas en tiempo real?

Ejemplo real: una entidad financiera sufrió un ataque de ransomware. Notificó a la AEPD en plazo, pero no pudo demostrar que los datos estaban cifrados ni que existía un plan de recuperación operativo. Resultado: sanción y obligación de implantar controles adicionales supervisados por un auditor independiente.

Los controles que la AEPD espera ver no son ciencia ficción:

• Cifrado de datos en reposo y en tránsito, con logs de acceso y pruebas de integridad.
• Gestión de identidades y accesos robusta, con autenticación multifactor y segregación de funciones.
• Monitorización continua de eventos de seguridad, con alertas automáticas y respuesta documentada.
• Pruebas periódicas de restauración de copias de seguridad, con evidencias de éxito o fallo.
• Formación continua y pruebas de concienciación para empleados y terceros.

Todo esto debe estar documentado, auditado y actualizado. El papel lo aguanta todo, pero la AEPD ya no se lo cree.

En los controles organizativos, la AEPD revisa la segregación de funciones en los equipos de TI y compliance, la existencia de canales internos de denuncia y la trazabilidad de la toma de decisiones. Un punto crítico es la gestión de incidentes: ¿existe un procedimiento claro, con responsables identificados y tiempos de respuesta definidos? ¿Se realizan simulacros? ¿Se documentan las lecciones aprendidas y se implementan mejoras?

En materia de subcontratación, la AEPD exige pruebas de due diligence real sobre los proveedores (auditorías, revisiones de contratos, pruebas de cumplimiento), y que las transferencias internacionales de datos se realicen bajo garantías adecuadas (cláusulas tipo, análisis de riesgos país, etc.). La excusa de "el proveedor nos aseguró que cumplía" ya no sirve.

Criterios de auditoría y evidencia operativa: lo que pide la AEPD

Para las empresas que aún dudan sobre qué documentación preparar, aquí va una lista de criterios de auditoría y evidencias que la AEPD está solicitando en 2025:

• Registros de actividades de tratamiento actualizados y firmados digitalmente.
• Informes de auditoría interna y externa de los últimos 24 meses.
• Pruebas de cifrado (capturas de configuración, logs, informes de pentesting).
• Actas de comités de seguridad y compliance, con evidencia de revisión de incidentes y decisiones adoptadas.
• Planes de formación y resultados de test de concienciación (phishing simulado, cuestionarios, etc.).
• Procedimientos de gestión de incidentes y evidencias de simulacros realizados.
• Contratos actualizados con encargados de tratamiento, con anexos de seguridad y cláusulas de notificación de incidentes.
• Evaluaciones de impacto (DPIA) específicas y revisadas tras cada cambio relevante.

¿Tu entidad puede demostrar todo esto en menos de 48 horas si la AEPD llama a la puerta? Si no, el riesgo de sanción es real y tangible.

El riesgo de cumplimiento: ¿quién duerme tranquilo?

La pregunta del millón: ¿cómo afecta este endurecimiento a los responsables de seguridad y cumplimiento? La presión es real. Los CISOs y DPOs ya no pueden refugiarse en la ambigüedad del "hemos hecho lo razonable". Ahora, cada decisión debe estar respaldada por documentación, análisis de riesgos y evidencias técnicas.

El riesgo de cumplimiento se ha vuelto más dinámico y menos predecible. Un incidente menor puede escalar en cuestión de días si la respuesta es torpe o la documentación es insuficiente. La AEPD ya no acepta excusas como "el proveedor no nos informó" o "el sistema antiguo no permitía más". El deber de diligencia es personal y no delegable.

Además, la interacción con la AEPD se ha vuelto más asimétrica: el regulador tiene más información, mejores herramientas técnicas y acceso a fuentes externas (colaboración con la CNMC, INCIBE, autoridades internacionales). La opacidad ya no es una estrategia viable.

Un efecto colateral que pocas empresas anticipan: las aseguradoras de ciberseguridad han empezado a exigir evidencias similares a las de la AEPD antes de renovar pólizas o cubrir incidentes. Si no puedes demostrar controles efectivos, el seguro se encarece —o desaparece. La presión de compliance ya no viene solo del regulador, sino del propio mercado.

Roadmap operativo para 2025: lo que hay que hacer (de verdad)

¿Por dónde empezar si no quieres ser el próximo caso en la web de la AEPD? Aquí va un plan operativo —sin humo ni promesas vacías— para sobrevivir en 2025:

1. Revisión forense de los controles actuales. No basta con auditar: hay que simular incidentes, probar restauraciones y documentar cada fallo y cada mejora.
2. Actualización real de la gestión de riesgos. Cada tratamiento de datos debe tener su propio análisis, revisado y validado por expertos internos y externos.
3. Documentación viva, no fósiles digitales. Los registros de actividades, DPIAs y políticas deben estar actualizados y ser accesibles en tiempo real ante una inspección.
4. Formación continua y pruebas de concienciación. Si el primer empleado que recibe un phishing cae, el problema no es solo técnico.
5. Relación proactiva con la AEPD. Mejor consultar dudas antes que improvisar excusas después.
6. Preparar un dossier de respuesta a incidentes. Incluye: responsables, procedimientos, plantillas de notificación y checklist de evidencias.

¿Es mucho trabajo? Sí. ¿Es opcional? No. El coste de no hacerlo se mide en sanciones, pérdida de confianza y —cada vez más— en la capacidad de seguir operando.

Para las grandes organizaciones, el reto está en coordinar equipos dispersos, sistemas heredados y proveedores externos. Para las pymes, la dificultad es la falta de recursos y la tentación de "cumplir lo justo". Pero la AEPD no discrimina por tamaño cuando la brecha es grave o la negligencia evidente.

Un consejo práctico: realiza simulacros de brecha con la misma seriedad que un simulacro de incendio. Involucra a dirección, legal, IT, recursos humanos y comunicación. Documenta cada paso, cada duda y cada mejora. El día que llegue el incidente real, agradecerás no estar improvisando.

El cierre: compliance sin anestesia

La era de la complacencia ha terminado. La AEPD ha dejado claro que el RGPD no es solo un marco legal, sino una exigencia operativa diaria. Las empresas que sigan viendo la privacidad como un asunto de marketing o relaciones públicas están jugando con fuego. La supervisión en 2025 es más técnica, más incisiva y menos tolerante con la improvisación.

¿La buena noticia? Quien invierte en controles reales, documentación viva y cultura de cumplimiento duerme más tranquilo. El resto, que prepare la chequera... o mejor aún, que empiece a trabajar en serio.

El futuro inmediato del cumplimiento GDPR en España no es un sprint, sino una maratón con obstáculos. La AEPD ha dejado de ser un árbitro paciente y se ha convertido en un entrenador exigente. El sector que no lo entienda, lo sufrirá —y, esta vez, sin anestesia ni paños calientes.