Según datos publicados en febrero de 2026 por la Autoritat Catalana de Protecció de Dades (APDCAT), durante 2025 se registraron 232 incidentes de seguridad en organismos públicos, un 27% más que el año anterior.
Estas vulneraciones afectaron al menos a 730.000 ciudadanos, triplicando las cifras de 2024. El aumento está relacionado con el crecimiento de ciberataques, especialmente ransomware y accesos mediante robo de credenciales.
Catalunya: triplican los afectados por brechas de datos en organismos públicos y las consecuencias legales
Durante el año 2025, la Autoritat Catalana de Protecció de Dades (APDCAT) ha observado un incremento notable en las violaciones de seguridad que afectan a organismos públicos en Catalunya. Según datos recientes, se registraron 232 notificaciones de brechas de datos en entidades con funciones públicas, lo que supone un 27,4 % más que en 2024 y ha afectado al menos a 730 000 personas, el triple de la cifra registrada el año anterior.
Este aumento, más allá de cifras estadísticas, tiene implicaciones jurídicas claras para las administraciones públicas y entidades que gestionan datos personales de ciudadanos. La normativa de protección de datos, tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), obliga a todos los responsables del tratamiento —incluidas las administraciones públicas— a implantar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
Causas y contexto de las brechas
El informe de la APDCAT señala dos causas principales detrás del aumento de brechas de seguridad:
- Ciberataques con software de secuestro (ransomware) y
- Accesos maliciosos derivados del robo de credenciales.
Ambos tipos de incidentes suelen implicar volúmenes elevados de datos expuestos, lo que explica gran parte del crecimiento en el número de afectados.
Además, aunque los errores humanos siguen siendo frecuentes —como configuraciones incorrectas o publicaciones accidentales— la creciente sofisticación de los ataques externos representa un riesgo creciente para la seguridad jurídica de las entidades públicas.
Obligaciones legales ante brechas de seguridad
Ante la constatación de una violación de seguridad que “puede suponer un riesgo para los derechos y libertades de las personas físicas”, el artículo 33 del RGPD exige la notificación a la autoridad de control sin dilación indebida y, en su caso, la comunicación a los afectados. Esta obligación forma parte del principio de responsabilidad proactiva que impone el Reglamento, también conocido como accountability. (Agencia Española de Protección de Datos)
No notificar una brecha o hacerlo fuera de plazo puede conllevar sanciones administrativas que, en el caso de administraciones públicas, podrían llegar a ser relevantes cuando se demuestra negligencia en la gestión o falta de medidas mínimas de seguridad.
Desafíos para la seguridad en el sector público
El aumento de ciberataques y brechas de datos se enmarca en una tendencia más amplia. En toda España, la AEPD recibió más de 2 700 notificaciones de brechas de datos personales en 2025, un récord histórico que refleja la creciente exposición de datos en múltiples sectores. (Escudo Digital)
Para las administraciones públicas catalanas, esto subraya la necesidad de reforzar sus políticas de ciberseguridad, sistemas de gestión de incidentes y formación interna en protección de datos, especialmente en áreas clave como el acceso a sistemas, cifrado, autenticación y control de privilegios.
La triplicación de los afectados por brechas de datos en el ámbito público en Catalunya durante 2025 evidencia que la gestión de datos personales sigue siendo un reto jurídico y tecnológico. Más allá del cumplimiento formal del RGPD, las administraciones tienen la obligación de integrar la privacidad y seguridad de los datos en su modelo de gestión cotidiana para proteger a los ciudadanos y reducir riesgos legales y reputacionales.
Si necesitas un análisis comparativo con otras comunidades autónomas o una guía práctica para adecuar sistemas de información a la normativa vigente, puedo ayudarte a desarrollarla.
Este escenario refleja el incremento del riesgo legal para las entidades públicas en materia de seguridad de la información y responsabilidad por protección de datos. Las brechas de datos públicos en Catalunya afectan a más de 730.000 personas. La noticia en la Vanguardia.