Ciberseguridad: ¿Qué se puede reclamar a las empresas si se filtran mis datos?

Los ciberataques a empresas no dejan de sucederse en España y  en el mundo. Según la firma tecnológica Thales, los ataques de ransomware (secuestro de datos) en nuestro país han subido en el primer semestre de 2025, situándose en el séptimo lugar entre los más afectados del mundo por este fenómeno.

Algunos de los últimos ejemplos son Iberia, Santander, Movistar o Yoigo. Aunque en muchas ocasiones los ciberataques son perpetrados contra terceras empresas que trabajan para estas grandes marcas, razón que usan para quitarle peso a los incidentes, no quita que el usuario final es el afectado y que puede pedir responsabilidades a su compañía.

Este aumento en ciberataques va ligado a un aumento en la cantidad de multas que se están dirigiendo a empresas a causa de mala gestión de los datos. Y no solo debido a fallos de seguridad, sino a una mala protección de la privacidad de los usuarios. Ejemplo de esto último es la multa de 10 millones de euros AENA por el reconocimiento facial en los aeropuertos, emitida por la Agencia Española de Protección de Datos (AEPD).

Cuando una brecha ocurre y los datos personales de los usuarios se ven afectados, se debe prestar atención a varios elementos para comprobar que no se han vulnerado derechos del cliente. En primer lugar, la compañía debe avisar a sus usuarios con la mayor celeridad. Está obligada a ello por el artículo 34 del Reglamento General de Protección de Datos (RGPD), que indica que la empresa debe emitir un comunicado a sus clientes notificando sobre la incidencia.

En caso de que la empresa no lo haga, o lo emita pasado el plazo debido, ya podía hablarse de una infracción.

XFERA, la última en pasar por caja por errores de ciberseguridad

La última empresa en España que tendrá que rendir cuentas por fallos en la gestión de datos es Xfera, compañía bajo la que opera la conocida operadora Yoigo. Un ciberataque ha expuesto datos de sus usuarios tales como nombre y apellidos, fecha de nacimiento, el número de NIF, el correo electrónico, los números de teléfono, el IBAN de la cuenta asociada y la dirección física, datos privados y sensibles.

Según el informe de la AEPD, estos datos no estaban ni cifrados ni anonimizados. Es decir, no estaban realmente protegidos. Debido a esto, la AEPD ha multado a la empresa con 4 millones de euros, acusándola de infringir el RGPD de manera doble: por un lado, por romper el principio de confidencialidad de los datos y, por otro, por la falda de medidas de seguridad técnicas y organizativas.

Sin embargo, este no es el único caso reciente. Hace unas semanas, Iberia informó de que se habían filtrado los nombres, apellidos, números de tarjeta de fidelización y direcciones de correo electrónico de los clientes de Iberia Club.

Ante este panorama, y viendo que la AEPD está sacando tajada con multas y sanciones, cabe preguntarse, ¿tiene el cliente derecho también a exigir compensación económica?

¿Se puede reclamar por mala gestión de los datos personales?

La AEPD tiene disponibles formularios para cumplimentar y presentar en su web en caso de haber sido víctima de una filtración de datos, permitiéndonos reclamar por la vía civil. Pero, ¿es posible conseguir que la empresa pague al afectado una indemnización? Aquí es donde no está tan claro.

Normalmente, la empresa podría verse obligada a pagar una indemnización si a causa del robo de datos el usuario ha sido víctima de un perjuicio económico. Por ejemplo, que los actores maliciosos causantes del hackeo (o cualquier otro cibercriminal con acceso a los datos) los haya usado para entrar en su banco y hacer un movimiento, para canjear puntos en algún marketplace, o cualquier situación similar. En este caso sí que se podría reclamar una compensación.

También es de vital importancia informarse sobre qué datos se han visto comprometidos, ya que no es lo mismo que se haya filtrado el nombre que un dato confidencial de la tarjeta de crédito como la fecha de caducidad o el código secreto. Estas son pruebas con las que se demostrará que ha habido un perjuicio personal.

Además, si hablamos de una empresa previamente sancionada por la AEPD (como Yoigo) ya estaría ganada la parte de la reclamación consistente en demostrar que hubo negligencia en la gestión de los datos.

No obstante, si la AEPD reconoce la infracción pero no hubo daño económico personal, entonces el único efecto será una sanción administrativa por parte de la Agencia a la empresa en cuestión. La multa que paga la empresa va a la Administración del Estado, por lo que no es posible hacer un reparto de ese dinero entre los clientes afectados, por ejemplo.

En cualquier caso, es positivo efectuar la reclamación para que quede constancia y la empresa admita las responsabilidades que le toquen. Esta debería ir acompañada de pruebas claras, como correos electrónicos, capturas de pantalla o cualquier documento que respalde la reclamación.