El coste de los ciberataques a pymes aumenta un 25%: el DPD se consolida como figura clave

El aumento de los ciberataques en España continúa situando a autónomos y pequeñas empresas en una posición de vulnerabilidad creciente. Los últimos análisis del sector apuntan a un incremento del 25% en el coste medio de los incidentes, lo que convierte la ciberseguridad en uno de los principales desafíos para las pymes españolas.

A pesar de esta tendencia, muchas organizaciones siguen sin tener claro cómo actuar ante una brecha de seguridad ni a qué autoridad deben notificarla, lo que incrementa el riesgo de sanciones y de una gestión ineficaz del incidente.

¿A quién debe notificarse una brecha de seguridad?

La respuesta depende del tipo de incidente, pero las obligaciones pueden implicar a varias autoridades:

• AEPD: cuando la brecha afecta a datos personales y existe riesgo para los derechos y libertades de las personas.

• INCIBE: para recibir apoyo técnico y orientación en la gestión del incidente.

• Fuerzas y Cuerpos de Seguridad del Estado: cuando el ataque constituye un delito.

• Autoridades sectoriales: en sectores regulados como salud, finanzas, energía o transporte.

La situación se complica porque la futura Agencia Española de Ciberseguridad, llamada a centralizar notificaciones y simplificar trámites, aún no está operativa. Hasta entonces, autónomos y pymes deben desenvolverse en un ecosistema de obligaciones dispersas y plazos estrictos.

El DPD: la figura que aporta orden en el caos

En este escenario, el Delegado de Protección de Datos se convierte en un aliado estratégico resultando esencial en tres ámbitos:

1. Gestión correcta de notificaciones: El DPD determina si la brecha debe comunicarse, a quién y en qué plazo, coordinando la relación con las autoridades competentes.
2. Reducción de sanciones: Aporta evidencia de diligencia proactiva, un factor clave para mitigar responsabilidades ante organismos de control.
3. Prevención y resiliencia: Implementa medidas técnicas, organizativas y formativas que reducen la probabilidad de sufrir incidentes y mejoran la capacidad de respuesta.
4. Interlocución única: Centraliza la comunicación con AEPD, INCIBE, FCSE y autoridades sectoriales, evitando duplicidades y pérdida de tiempo.

El valor añadido del DPD certificado

De forma cada vez más habitual, las organizaciones buscan perfiles que aporten garantías verificables de competencia. En este sentido, contar con un DPD certificado conforme al Esquema de la AEPD introduce un elemento adicional de confianza:

• Acredita que el profesional dispone de conocimientos actualizados y evaluados externamente.

• Refuerza la seguridad jurídica de las decisiones adoptadas durante la gestión de un incidente.

• Aporta un estándar homogéneo de calidad que facilita la interlocución con autoridades y organismos públicos.

Fuentes (formato APA)

Agencia Española de Protección de Datos. (s.f.). Obligaciones de notificación de brechas de seguridad. [Documento en línea] 

Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Diario Oficial de la Unión Europea. [Documento en línea] 

Unión Europea. (2022). Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas para un elevado nivel común de ciberseguridad en toda la Unión (NIS2). Diario Oficial de la Unión Europea. [Documento en línea] 

Ministerio del Interior. (2025). El Consejo de Ministros aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. [Documento en línea]

El Mundo. (2026, 2 de enero). El nudo burocrático que desespera a las empresas víctimas de ciberataques: “Necesitamos una ventanilla única”. [Documento en línea]

TodoStartups. (2026). La ciberseguridad se convierte en el mayor desafío para las pymes españolas ante el aumento del coste de los ataques un 25%. [Documento en línea].