La AEPD investiga el boom de filtración de datos personales en la Comunidad Valenciana

La Agencia Española de Protección de Datos investiga ante el incremento significativo de brechas de seguridad y filtraciones de datos que se están produciendo en la Comunidad Valenciana, según ha podido saber El Debate de fuentes profesionales del sector.

La región se ha convertido en uno de los principales focos nacionales de incidentes que comprometen información personal, según confirman a este periódico fuentes conocedoras del procedimiento. La acumulación de ataques, fallos internos y negligencias técnicas en pymes, clínicas privadas y administraciones locales ha disparado el volumen de denuncias y ha activado los mecanismos de supervisión de la autoridad.

El Instituto Nacional de Ciberseguridad registró en 2025 más de 130.000 incidentes en todo el país, un 25% más que el año anterior. La Comunidad Valenciana destaca por encima de esa media. Fuentes técnicas apuntan a un incremento del 28% en los incidentes con impacto directo en datos personales en Valencia, Alicante y Castellón.

El patrón se repite con claridad. Empresas que operan con sistemas desactualizados, proveedores tecnológicos sin control, servidores expuestos y prácticas internas que incumplen el Reglamento General de Protección de Datos están generando un caldo de cultivo que se refleja en un aumento sostenido de incidentes reportados.

La casuística es amplia. Clínicas privadas de Valencia han tenido accesos no autorizados a historiales clínicos, una de las categorías de datos especialmente protegidas por el RGPD. En Alicante, un ataque de ransomware paralizó varios servicios municipales y dejó expuestos documentos administrativos sin cifrar. En Castellón, academias y comercios electrónicos han reconocido filtraciones vinculadas a proveedores externos que almacenaban datos en la nube sin medidas de seguridad adecuadas. La AEPD está analizando si estas entidades notificaron los incidentes en el plazo legal de 72 horas y si disponían de protocolos internos proporcionales al riesgo del tratamiento de datos que realizaban.

Los informes oficiales refuerzan la alerta. La Agencia Española de Protección de Datos tramitó en 2025 más de 1.300 expedientes por brechas de seguridad, un 17% más que el año anterior. La Comunidad Valenciana, junto con Madrid y Cataluña, se encuentra entre las regiones que presentan mayor ritmo de crecimiento en reclamaciones relacionadas con fallos en la integridad y confidencialidad de la información personal. Expertos en cumplimiento normativo atribuyen este fenómeno a un proceso de digitalización acelerado que no ha venido acompañado de la inversión necesaria en tecnología, auditorías o formación especializada.

A ello se suma un efecto derivado que preocupa a las autoridades: la utilización de datos filtrados para cometer fraudes posteriores. La Policía Nacional ha detectado un aumento considerable de estafas basadas en suplantación de identidad utilizando información real obtenida en brechas previas. Las ciudades de Valencia, Torrevieja, Gandía, Elche y Alcoy concentran el mayor volumen de denuncias, con casos que incluyen apertura de cuentas, contratación de productos financieros, solicitudes de microcréditos o campañas de smishing en las que los delincuentes aportan datos verídicos del afectado para aumentar la credibilidad del engaño. La Guardia Civil confirma que estas estafas crecieron un 22% en 2025.

Causas del repunte

El análisis técnico identifica varios factores convergentes. La Comunidad Valenciana alberga un tejido empresarial dominado por pymes que han adoptado soluciones digitales sin una estrategia de ciberseguridad formal. La ausencia de cifrado en bases de datos, la utilización de contraseñas débiles, la falta de segmentación en redes internas y la externalización de servicios sin contratos de tratamiento adecuados son fallos detectados con frecuencia en incidentes recientes. A ello se añade un componente estructural. Muchos ayuntamientos de la región siguen operando con infraestructuras heredadas, sistemas sin soporte y aplicaciones que no cumplen los estándares exigidos por el Esquema Nacional de Seguridad.

La economía digital de la región, especialmente dinámica en comercio electrónico, sanidad privada y formación universitaria, contribuye a un volumen creciente de datos almacenados y tratados. Cuanto mayor es la cantidad de información gestionada, mayor es el impacto de una brecha y más atractivo se vuelve el objetivo para los ciberdelincuentes. Además, los especialistas explican que muchas empresas desconocen que están obligadas a realizar análisis de riesgos y auditorías periódicas, algo que la autoridad está revisando en sus actuales requerimientos.

Derechos de los afectados

Desde Asoban Abogados, despacho con abogados expertos en protección de datos, confirman a este periódico que las consultas procedentes de la Comunidad Valenciana se han incrementado de forma significativa desde finales de 2025. Los letrados explican que gran parte de los afectados no fue informada de la brecha en tiempo y forma, lo que dificulta la adopción de medidas rápidas de protección frente a posibles fraudes. Señalan que muchas pymes no documentan adecuadamente los incidentes ni disponen de protocolos para acreditar que contaban con medidas de seguridad suficientes, un requisito esencial para evitar sanciones de la AEPD.

Los abogados recuerdan que cualquier ciudadano cuyos datos se hayan visto comprometidos tiene derecho a conocer el origen del incidente, exigir explicaciones sobre el alcance de la brecha y reclamar indemnizaciones cuando existan daños económicos, estrés, perjuicios reputacionales o suplantaciones. Subrayan que una parte importante de las estafas detectadas en la región se deriva directamente de brechas que nunca fueron notificadas o cuyos riesgos no fueron comunicados a los afectados. Por ello consideran esencial que cualquier intento de acceso, cargo no autorizado o comunicación sospechosa sea inmediatamente documentado y denunciado.

La investigación abierta por la AEPD apunta a un escenario en el que la autoridad incrementará las exigencias regulatorias sobre empresas y administraciones valencianas. El organismo ha reiterado en sus últimos informes que la supervisión será más estricta en sectores que manejan datos sensibles y que las sanciones serán proporcionales al riesgo de los tratamientos afectados. Los analistas coinciden en que la región deberá realizar una inversión considerable en infraestructuras de seguridad y cumplimiento normativo si quiere frenar una tendencia que amenaza con convertirse en estructural.

La advertencia es clara. La filtración de datos se ha consolidado como uno de los principales riesgos digitales en la Comunidad Valenciana. La conjunción de digitalización acelerada, brechas no notificadas y uso delictivo de información personal ha situado al territorio en el foco de la autoridad reguladora. Para 2026, los expertos prevén que el volumen de incidentes seguirá creciendo si las empresas y administraciones no adoptan medidas técnicas y organizativas acordes a la magnitud del riesgo al que están expuestas.