Ana Vidaor Maristany, abogada área TMT. AGM Abogados
Ana Vidaor Maristany
El próximo 28 de enero se celebra el Día Internacional de la Protección de Datos Personales, una fecha dedicada a concienciar sobre la importancia de garantizar la seguridad de la información en un entorno digital cada vez más complejo. En este contexto, cobra especial relevancia analizar cómo están respondiendo las empresas ante el aumento de ciberataques y brechas de seguridad que afectan a millones de usuarios en todo el mundo.
Durante el año 2025 –y todo apunta que 2026 seguirá la misma tendencia– las grandes empresas internacionales, muchas de ellas utilizadas por millones de consumidores, han sido objeto de ciberataques cada vez más frecuentes. Como consecuencia, los datos personales y la privacidad de millones de usuarios pueden verse gravemente comprometidos.
Cada vez es más habitual que los ciudadanos reciban notificaciones de compañías informando brechas de seguridad. En los últimos meses, Mango, OpenAI y Endesa han comunicado incidentes relevantes de este tipo. Pero ¿qué supone realmente para los usuarios recibir este tipo de notificaciones?
Según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), no todas las brechas deben comunicarse a la Agencia Española de Protección de Datos (AEPD) ni a los afectados. La notificación es obligatoria únicamente cuando el incidente supone un riesgo real para los derechos y libertades de las personas. Por tanto, cuando una empresa informa, la afectación suele ser significativa.
Tres ejemplos recientes: Mango, OpenAI y Endesa
Mango
La empresa textil sufrió un acceso no autorizado a datos personales a través de un proveedor de servicios de marketing. Aunque no se comprometieron datos especialmente sensibles –como DNI o información bancaria– sí quedaron expuestos datos de contacto y ubicación.
Este tipo de incidentes incrementa el riesgo de phishing, ya que los atacantes pueden generar comunicaciones más creíbles al disponer de información real sobre los usuarios.
OpenAI
OpenAI comunicó una brecha relacionada con su API, derivada de un incidente en Mixpanel. Los atacantes accedieron a datos identificativos y técnicos como correo electrónico, ubicación aproximada, sistema operativo o navegador.
La compañía aclaró que el contenido de los chats y mensajes no se vio afectado.
Endesa
A comienzos de 2026, Endesa notificó un ciberataque que afectó a más de 20 millones de usuarios. En apenas dos horas y media, un atacante accedió a teléfonos, DNI, datos energéticos e incluso métodos de pago, lo que eleva significativamente el riesgo para los afectados.
El impacto de una brecha no termina con la notificación
Informar a la AEPD y a los afectados no implica que el riesgo esté controlado o que haya desaparecido. Las consecuencias pueden prolongarse en el tiempo, por lo que es imprescindible adoptar medidas preventivas y reactivas.
En consecuencia, es imprescindible que:
- Como usuario, en caso de recibir este tipo de notificaciones por parte de compañías afectadas por brechas de seguridad, se recomienda revisar siempre la autenticidad de las comunicaciones, no facilitar datos personales en enlaces dudosos y activar medidas como el doble factor de autenticación siempre que sea posible. También se puede considerar denunciar ante la AEPD o reclamar por la vía legal si procede.
- Como empresa, para minimizar el riesgo de brechas en tu organización, se recomienda reforzar las medidas organizativas y técnicas de la empresa, todo ello para proteger la información de sus clientes y usuarios, dado que estos datos constituyen uno de los activos más valiosos y pueden presentar riesgos que afectan a sus derechos fundamentales, lo cual se puede trasladar en reclamaciones para la empresa en cuestión.
En este sentido, es fundamental implementar protocolos internos claros, como:
-
- Disponer de medidas de seguridad informáticas adecuadas a nivel interno y protocolos de detección y gestión de brechas de seguridad.
- Trabajar con proveedores que tengan medidas de seguridad adecuadas y disponer de circuitos que permitan verificar que los proveedores cumplen con dichas medidas de seguridad.
- Formar a los equipos en el día a día del adecuado tratamiento de datos y aspectos vinculados a la ciberseguridad.
Un reto creciente para 2026
La celebración del Día Internacional de la Protección de Datos Personales recuerda cada año la necesidad de reforzar la cultura de seguridad digital. Los casos recientes demuestran que ninguna organización está completamente a salvo y que la ciberseguridad se ha convertido en un elemento estratégico para las empresas y una preocupación creciente para los usuarios.
En un escenario donde las brechas de seguridad serán cada vez más frecuentes, la anticipación, la formación y los protocolos de respuesta resultarán esenciales para garantizar la protección de la información.
La entrada ¿Están las empresas preparadas para gestionar una brecha de seguridad? La importancia de proteger los datos de clientes se publicó primero en Lawyerpress NEWS.
