Brechas de datos en España: lo que revela el informe de la AEPD 2026 

357 millones de personas notificadas por una filtración de sus datos desde 2024. Y solo en los primeros cuatro meses de 2026, la AEPD (Agencia Española de Protección de Datos) ya ha recibido casi dos tercios del volumen total de notificaciones registradas durante todo el año 2025. 

La Agencia Española de Protección de Datos (AEPD)  recopila las notificaciones de brechas de seguridad que recibe y ahora publica sus detalles su dashboard interactivo: volumetría, sectores afectados, perfil de las víctimas, severidad de las consecuencias, modos de ataque y distribución geográfica. Esta transparencia es muy valiosa. Permite a las empresas comparar su exposición al riesgo, a los DPO argumentar ante su dirección y a los responsables de seguridad de la información calibrar sus inversiones.

Las cifras hablan por sí solas. Entre 2024 y abril de 2026, la AEPD ha recibido 7 041 notificaciones de brechas: 2 704 en 2024, 2 600 en 2025, y ya 1 737 en los cuatro primeros meses de 2026. Al ritmo actual, el año 2026 podría superar ampliamente los volúmenes de los dos años anteriores.

Más llamativo aún: el mes de marzo de 2026 registró por sí solo 762 notificaciones, un pico histórico sin equivalente en la serie. Abril de 2026 confirma la tendencia con 502 nuevas notificaciones. Ya no se trata de un ruido de fondo estadístico, es un punto de inflexión.

En cuanto al volumen de personas afectadas, las cifras alcanzan magnitudes vertiginosas: 357 millones de personas notificadas en total, de las cuales 209 millones solo en 2025. Los picos de octubre y noviembre de 2025 (cerca de 60 millones de personas informadas cada mes) sugieren una o varias mega-brechas de envergadura nacional.

El informe de la AEPD aporta una lectura valiosa del perfil de las personas afectadas. Sin sorpresa, los clientes y ciudadanos dominan (268 casos), seguidos de los empleados (145). Un recordatorio útil de que las fugas afectan tanto a los datos externos como a los datos de recursos humanos internos de las organizaciones.

Pero la cifra más sensible está en otro lugar: 113 brechas conciernen a categorías especiales, es decir, datos particularmente protegidos. Y entre estas, 105 casos conciernen a datos de salud, ya sea de pacientes (80) o de empleados (25). Le siguen los datos de afiliación sindical (11), genéticos (6), de origen racial o étnico (5), y más raramente los datos relativos a la religión, la vida sexual o las opiniones políticas.

Sobre la severidad de las consecuencias, el panorama es contrastado: 311 brechas se clasifican como de gravedad baja, 98 como de gravedad media, y 23 como de gravedad alta. Cabe destacar 69 casos cuyas consecuencias siguen siendo desconocidas, un punto ciego que merece vigilancia.

La cartografía sectorial es inequívoca. Con 97 notificaciones en turismo y 93 en sanidad, estos dos pilares de la economía española concentran la mayor parte de los incidentes. Le siguen el comercio (36), la educación (24), los servicios informáticos (21) y los seguros privados (12).

Esta distribución no es neutral. El sector turístico maneja enormes volúmenes de datos personales (pasaportes, medios de pago, datos de estancia) frecuentemente compartidos entre múltiples socios (hoteles, agencias, plataformas de reserva). El sector sanitario, por su parte, trata por naturaleza datos ultra-sensibles, en sistemas de información históricamente heterogéneos y difíciles de proteger.

Geográficamente, Madrid (135 notificaciones), Cataluña (114) y la Comunidad Valenciana (52) constituyen los epicentros. El informe también recoge 81 brechas transfronterizas, de las cuales 53 implican a Francia. Un recordatorio de que, en un ecosistema europeo, el riesgo no se detiene en las fronteras nacionales.

Las estadísticas de la AEPD recopilan las brechas que afectan a los sistemas en producción. Pero pasan por alto una realidad que todo CIO conoce: los datos de producción se copian sistemáticamente en otros entornos — desarrollo, pruebas, preproducción, formación, analítica.

Estas copias plantean varios problemas críticos:

• +A menudo escapan a los controles de seguridad aplicados a los entornos de producción.
• + Son frecuentemente accesibles a proveedores externos, subcontratistas o desarrolladores.
• +Se exportan regularmente a la nube, a herramientas SaaS o a puestos individuales
• +Multiplican mecánicamente la superficie de ataque sin aportar valor adicional para el negocio.

El RGPD (artículo 5) impone el principio de minimización: tratar únicamente los datos estrictamente necesarios para la finalidad perseguida. La LOPDGDD española va más allá: su artículo 72 califica de infracción muy grave «la reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados». Una señal contundente, que sitúa implícitamente el listón muy alto en cuanto a la calidad de las técnicas utilizadas: solo una anonimización robusta e irreversible ofrece una verdadera protección.

Ahora bien, en la práctica, este principio de minimización sigue estando ampliamente sin aplicar fuera de los entornos de producción. Un desarrollador no necesita conocer el nombre real, la dirección real ni el número real de tarjeta de un cliente para probar una funcionalidad.

Frente a este panorama, una medida se distingue por su eficacia: la anonimización irreversible de los datos. A diferencia de los dispositivos de seguridad que buscan impedir el acceso a los datos, la anonimización actúa aguas arriba: transforma los datos reales en datos ficticios, explotables para los usos de negocio pero desprovistos de todo valor en caso de fuga.

El matiz es fundamental: un dato anonimizado que se filtra ya no es una brecha notificable. Es hoy la única medida que elimina el riesgo en su origen en lugar de tratar de contenerlo.

La propia AEPD promueve activamente estas técnicas en su doctrina, y ha publicado varias guías metodológicas sobre el tema. El regulador español es uno de los más avanzados de Europa en esta cuestión.

A esta necesidad responde precisamente DOT Anonymizer, la solución de anonimización desarrollada por ARCAD Software. Está diseñada para integrarse en sistemas de información complejos y heterogéneos.

Este tipo de entorno es característico de los sectores turismo, sanidad, banca o seguros — precisamente aquellos señalados por el informe de la AEPD.

DOT Anonymizer aporta varias respuestas concretas a las problemáticas planteadas:

• ☑Cobertura multi-SGBD: Oracle, SQL Server, PostgreSQL, MySQL, DB2, ficheros planos… La anonimización se aplica al conjunto de las fuentes, sin necesidad de rediseñar el sistema de información.
• ☑ Coherencia referencial: los datos anonimizados siguen siendo explotables para las pruebas, el desarrollo y la analítica. Un mismo cliente conserva la misma identidad ficticia de una base a otra.
• ☑Conformidad con el RGPD y la LOPDGDD: las técnicas utilizadas respetan las recomendaciones de la AEPD y del CEPD en materia de anonimización.
• ☑Industrialización: despliegue rápido sobre el conjunto de los entornos no productivos, con automatización de los ciclos de refresco.

357 millones de notificaciones. 68 % de ataques intencionados. Una aceleración marcada en 2026. El informe de la AEPD no deja lugar a dudas: las fugas de datos ya son un fenómeno estructural y creciente.

Frente a esta realidad, asegurar los entornos de producción es necesario, pero no suficiente. Mientras los datos reales sigan circulando por los entornos de pruebas, desarrollo y formación, la superficie de ataque seguirá multiplicada. La anonimización es hoy una respuesta viable a la altura del desafío. ¿Desea evaluar su exposición al riesgo en sus entornos no productivos? Descubra cómo DOT Anonymizer puede ayudarle a aplicar concretamente el principio de minimización de datos.