3 señales de que tus datos ya han sido vendidos: lecciones de las grandes filtraciones de 2025
Empresas de todo el mundo han pagado caro por los errores en la protección de datos personales.
En 2025 los reguladores de todo el mundo demostraron que están dispuestos a sancionar a las empresas por filtraciones de datos no solo con palabras, sino con multas de millones de dólares, y las cantidades siguen aumentando. Aunque desde la entrada en vigor del RGPD han pasado ya 7 años y solo en Europa desde 2018 se han impuesto multas por más de 6.000 millones de dólares, los organismos de supervisión siguen extremadamente activos y los casos sonados continúan sacudiendo el mercado y perjudicando la reputación de las marcas.
Según IBM, en el último año casi un tercio de las empresas del mundo se enfrentó a sanciones por incumplimientos relacionados con filtraciones de datos. Estos incidentes siguen siendo más costosos en Estados Unidos, pero las multas más altas siguen imponiéndose en el marco de la regulación europea, donde los reguladores prestan especial atención a la transferencia transfronteriza de datos y a la «ciberhigiene» básica.
El caso más destacado fue la multa a TikTok: el regulador irlandés obligó a la empresa a pagar 530 millones de euros por la transferencia de datos personales de usuarios europeos a China. En los documentos del caso se indicaba que TikTok había asegurado al órgano de supervisión que los datos europeos no se almacenaban en la RPC, pero después se comprobó que esa afirmación era incorrecta y que la evaluación de riesgos de la empresa no garantizaba un nivel de protección comparable al exigido por el RGPD. TikTok ya ha anunciado su intención de impugnar la decisión.
En Alemania fue sancionada Vodafone: el operador pagó multas por dos episodios — uno relacionado con el control insuficiente del trabajo de contratistas y otro, de mayor cuantía, con problemas en la autenticación de clientes en los servicios MyVodafone y en la atención telefónica, que, según el regulador, abrían la puerta al acceso no autorizado a perfiles eSIM. La compañía declaró que subsanó las incumplimientos y que terminó la colaboración con las agencias problemáticas.
En el Reino Unido la gran multa recayó en el grupo de externalización Capita — 14 millones de libras por las consecuencias de un ataque de ransomware en 2023 que afectó a casi siete millones de clientes finales, incluidos participantes de cientos de fondos de pensiones. El organismo de supervisión detalló toda una cadena de errores — desde deficiencias en la monitorización y la respuesta hasta problemas que permitieron a los atacantes expandir la intrusión dentro de la infraestructura. Capita decidió no presentar recurso, aunque la cuantía de la multa se redujo respecto a la inicialmente debatida.
Polonia fue este año uno de los países más activos en cuanto a casos sonados. El servicio postal estatal Poczta Polska recibió una multa tras la historia de las llamadas «elecciones por correo» de 2020: el regulador consideró que los datos personales de los votantes fueron transferidos y tratados sin la base jurídica adecuada. Entre los datos filtrados se mencionaron nombres, direcciones e identificadores nacionales PESEL.
Allí mismo fue sancionado ING Bank Śląski: según el regulador, el banco escaneó documentos de clientes y potenciales clientes sin una justificación suficiente en términos de minimización de datos y licitud del tratamiento. Otro caso sonado en Polonia fue la multa a McDonald's Polska tras una filtración de datos de empleados debido a una configuración errónea de un servidor; se señaló además que, como responsable del tratamiento, la empresa debía haberse asegurado de contar con medidas organizativas y técnicas adecuadas de protección.
Italia, por su parte, dirigió su atención al mercado de servicios de IA. El regulador exigió a la empresa estadounidense Luka, desarrolladora del chatbot Replika, el pago de 5 millones de euros, señalando problemas con la obtención del consentimiento para el tratamiento de datos personales y de comportamiento, notificaciones de privacidad «opacas» y la falta de una verificación de edad clara. Paralelamente, continúa una investigación separada sobre la legalidad de las operaciones de entrenamiento y tratamiento de datos.
En el ámbito de la salud y la infraestructura crítica volvió a atraer atención el ataque de ransomware contra el proveedor de soluciones TI para el NHS del Reino Unido — la empresa Advanced. Tras el incidente de 2022, que provocó filtraciones de datos y fallos prolongados, incluidos problemas persistentes en servicios como NHS 111, el regulador confirmó una multa de 3,1 millones de libras. En los documentos públicos también se describen las hipótesis de acceso — entre ellas la compromisión de una cuenta sin autenticación multifactor y el uso de RDP — y se señalan debilidades en la gestión de parches y vulnerabilidades.
Finalmente, la ICO británica multó a 23andMe tras un ciberataque en 2023. Según el regulador, los atacantes comenzaron con ataques de relleno de credenciales y luego pudieron acceder a datos de otros usuarios mediante la función DNA Relatives; entre los datos mencionados figuraban tanto datos de perfil habituales como información sensible. La ICO señaló deficiencias en la monitorización, la respuesta y la protección del proceso de autenticación, incluida la ausencia de autenticación multifactor obligatoria.
En conjunto, estas historias muestran que las multas por filtraciones y por incumplimientos de las normas de tratamiento de datos cada vez son menos una «penas» puntuales y más una herramienta que obliga a las empresas a revisar sus prácticas de seguridad y gestión de datos personales. Y 2025 dejó claro: los reguladores están dispuestos a aumentar la apuesta allí donde las empresas llevan años posponiendo las correcciones.