Despacho socio de:

Socios Hispajuris

Ciberataques: qué derechos tienes si tus datos personales se filtran

por | Nov 28, 2025 | Blog Jurídico y Fiscal, Nuevas Tecnologías

Ciberataques: qué derechos tienes si tus datos personales se filtran

En un mundo cada vez más digitalizado, los ciberataques se han convertido en una amenaza constante. Casos recientes como los de Mango, que sufrió una filtración de datos de clientes a través de un proveedor externo, o el de Carrefour, sancionada con una multa de 3,2 millones de euros por múltiples incidentes que afectaron a 120.000 clientes, demuestran que ninguna empresa está exenta de este riesgo.

Cuando una empresa sufre un ataque informático y tus datos pueden verse comprometidos, surgen las dudas: ¿qué puedo hacer? ¿Quién responde si mi información queda expuesta?

En este artículo te explicamos qué pasos debes seguir y qué derechos te asisten ante una brecha de seguridad de datos personales.

¿Qué es una brecha de seguridad y cuándo se debe notificar?

Una brecha de seguridad de datos personales es cualquier incidente que provoque la destrucción, pérdida, alteración, acceso o comunicación no autorizada de datos personales.

Una brecha puede afectar a tres aspectos clave:

  • Confidencialidad: los datos son accedidos por personas no autorizadas.

  • Integridad: los datos se alteran sin permiso.

  • Disponibilidad: los datos se pierden o quedan inaccesibles.

Notificación obligatoria en 72 horas

Si la empresa considera que la brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarlo a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

No cumplir este plazo puede acarrear:

  • Multas de hasta 10 millones de euros o el 2 % de la facturación anual global.

  • Y si se desobedece una orden directa de la AEPD: hasta 20 millones de euros o el 4 % de la facturación anual global.

Comunicación a los afectados: ¿cuándo es obligatoria?

No todas las brechas requieren avisar directamente a los usuarios. La organización solo debe hacerlo cuando el incidente entrañe un alto riesgo para los derechos y libertades de las personas.

Entre los factores que determinan ese “alto riesgo” se encuentran:

Tipo de brecha: si se ha accedido a datos (confidencialidad), si se han alterado (integridad) o si se han perdido (disponibilidad).

  • Naturaleza de los datos: el riesgo es mayor si se filtran datos sensibles como información de salud, financiera, biométrica o de colectivos vulnerables.
  • Facilidad de identificación: si los datos estaban cifrados o seudonimizados, el riesgo es menor. Si permiten identificar directamente a las personas, el riesgo aumenta.
  • Posibles consecuencias: se evalúa la probabilidad de que se produzcan daños como usurpación de identidad, fraudes, pérdidas económicas o daño a la reputación.
  • Perfil de los afectados: el riesgo se agrava si los datos pertenecen a colectivos vulnerables (por ejemplo, en casos de menores de edad).
  • Número de afectados: una brecha que afecta a un gran número de personas suele tener un impacto mayor y, por tanto, un riesgo más elevado.

¿Qué debe incluir la comunicación?

Debe ser clara y contener:

  • Datos del Delegado de Protección de Datos (DPD) o contacto.

  • Descripción de la naturaleza de la brecha y cuándo se produjo.

  • Posibles consecuencias del incidente.

  • Datos o información personal afectados.

  • Medidas adoptadas o previstas para resolverlo y mitigar sus efectos.

¿Cuáles son mis derechos si estoy afectado por un ciberataque?

Si tus datos personales se han visto comprometidos, el RGPD y la LOPDGDD te reconocen varios derechos:

Derecho a ser informado

Tienes derecho a recibir una notificación clara y oportuna cuando una brecha suponga un alto riesgo para tus derechos.

Derecho a reclamar ante la AEPD

Puedes presentar una reclamación si la empresa:

  • No te ha informado,

  • No tenía medidas de seguridad adecuadas,

  • O lo ha hecho tarde.

La AEPD puede investigar e imponer sanciones.

Derecho a una indemnización por daños y perjuicios

Toda persona que haya sufrido daños materiales o morales por una vulneración tiene derecho a una indemnización.

Daños materiales:

  • Cargos fraudulentos.

  • Estafas o suplantaciones derivadas de la filtración.

Daños morales:

  • Daño a la reputación.

  • Impacto personal o profesional.

Jurisprudencia clave

La Sentencia del TJUE de 14 de diciembre de 2023 (C-340/21) establece que el mero temor ante un posible uso indebido de tus datos ya puede constituir un daño moral indemnizable, aunque ese uso indebido no llegue a producirse.

Para ejercer este derecho debes iniciar una acción de responsabilidad civil demostrando el vínculo entre la brecha y el perjuicio sufrido.

En conclusión

En un entorno digital donde los ciberataques son una realidad constante, no estás indefenso. Tanto el RGPD como la normativa española te ofrecen herramientas para proteger tu privacidad y exigir responsabilidades.

Una brecha de seguridad no es un simple inconveniente: puede derivar en fraudes, suplantaciones de identidad o daños morales significativos.

Si sospechas que tus datos han sido comprometidos:

  1. Exige información a la empresa.

  2. Reclama ante la AEPD si no recibes respuesta.

  3. Valora iniciar una reclamación por daños materiales o morales.

En Caruncho & Tomé te ayudamos a reclamar la indemnización que te corresponde. Si has sido afectado por un ciberataque, contacta con nosotros.

Artículos que quizá te interesen: