El error humano como principal fuente de riesgos para los datos personales en las empresas. Medidas y prácticas para su minimización.

17/04/2026
Escrito por Prodat - Consultores y Auditores Informáticos Prodat S.A.

Hoy en día, al hablar de brechas de seguridad, lo primero que suele venir a la mente son conceptos como: hackers, crackers, phishing, robos de datos, destrucción de sistemas y otros conceptos asociados a la ciberseguridad; o bien riesgos de carácter físico, como incendios, apagones o inundaciones, que pueden ocasionar vulnerabilidades o conllevar la pérdida del equipo o fichero y los datos que éste contenga.

No obstante, un gran riesgo para los datos que suele pasarse por alto es, precisamente, el más habitual, es el “error humano”.

¿Qué es el “error humano”?

El error humano es toda aquella conducta de una persona que, por desconocimiento, imprudencia, inobservancia o descuido, es susceptible de provocar una vulnerabilidad en la seguridad de los datos a los que la persona tiene acceso y que puede llegar a convertirse en una brecha de seguridad.

En el año 2022, el informe de World Economic Forum, “The Global Risks Report”, en su decimoséptima edición, señaló el error humano como la causa del 95% de los problemas y errores en materia de ciberseguridad.

Por otra parte, en 2024, un informe de la empresa Proofpoint, Inc. (especializada en materia de ciberseguridad y compliance) determinó, en base a una serie de encuestas a diferentes empresas, que el 74% de los CISOS consideraban el error humano como la vulnerabilidad más significativa para la seguridad de sus entidades.

Igualmente, en otro informe que presenta Proofpoint también en 2024, se plasma que más del 70% de empleados de las entidades encuestadas admiten que realizan comportamientos que pueden conllevar riesgos que conviertan los datos en elementos vulnerables a brechas de seguridad.

Esto demuestra que es importante no olvidar este factor de riesgo cuando se analizan los posibles peligros a los que se enfrentan los datos que se manejan en el día a día, así como la importancia que tienen su conocimiento y prevención.

Tipos de conductas de riesgo.

Visto qué se entiende por error humano y su relevancia en materia de seguridad y protección de datos personales, es necesario conocer las diferentes maneras en que este evento puede manifestarse.

Las formas en que puede darse un error humano son múltiples, pero pueden destacarse las siguientes como las más habituales:

  • Desconocimiento o inexperiencia con las tecnologías manejadas en el puesto de trabajo.
  • Descuidos en la seguridad física de los ficheros, registros, archivos o equipo. Como ejemplo, pueden citarse conductas tan aparentemente inocuas como: dejar archivadores abiertos; pantallas con datos o imágenes a la vista del público; salida de terminales del centro de trabajo con datos sin cifrar; o la pérdida u olvido de terminales que contengan datos, por ejemplo, en el transporte público en el desplazamiento desde o hacia el centro de trabajo.
  • Falta de actualización de software, dejando obsoletos los sistemas y programas de seguridad.
  • Instalación de software indebido o prohibido por la entidad. Como muestra de esta conducta, puede citarse la Sentencia 1222/2020, del Tribunal Superior de Justicia de Andalucía, en la que se confirma el despido procedente de una trabajadora de una empresa dedicada a la fabricación de sistemas electrónicos integrados para sectores de defensa, aeroespacial y medicina (entre otros) por la instalación no autorizada y, de hecho, prohibida por la empresa, de un sistema de software que permitía burlar los sistemas de seguridad de la empresa.
  • Uso de claves y contraseñas débiles y reutilización o compartición de éstas. Una buena muestra de errores humanos de este estilo es la, ya comentada en otra entrada de este blog, condena al Servicio Gallego de Salud (SERGAS), debido a que un Jefe de Servicio permitió que el número PIN personal de su tarjeta fuese conocido por los trabajadores de tal servicio y, como consecuencia, se produjo un acceso indebido a la historia clínica de un paciente por una o varias personas que no pudieron ser identificadas.
  • Phishing. Uno de los métodos más para estafar y obtener información confidencial de forma fraudulenta y muy habitual en el ámbito del error humano en el sector laboral. Aquí puede citarse la Sentencia del Tribunal Superior de Justicia de Madrid 549/2022, relativa a una trabajadora que fue víctima de phishing, lo que conllevó un fraude económico importante a su entidad, en tanto ningún miembro del equipo pudo detectarlo correctamente.

Consecuencias del error humano

Resulta patente que el error humano, en todas sus formas, conlleva una serie de riesgos para los datos de carácter personal que, además, pueden traducirse en infracciones sancionables de diversa índole.

A modo de ejemplos, pueden citarse:

  1. Accesos indebidos. El error humano puede implicar individuos o entidades no autorizados tengan acceso a datos personales de otros. La AEPD ha impuesto diversas sanciones por errores como el envío de las nóminas de toda la plantilla a un trabajador; la entrega de un paquete al destinatario incorrecto con datos visibles en el embalaje; o el, ya comentado en esta entrada, envío de datos de salud a destinatarios incorrectos y sin cifrar.
  2. Vulneraciones del ejercicio de otros derechos. El error humano, en ocasiones, también ha impedido a los interesados la correcta satisfacción de los derechos que le reconoce el RGPD en sus artículos 15 a 22. Así, en 2025, la AEPD inició un procedimiento sancionador frente a una empresa cuyo empleado, ignorando instrucciones de la entidad, no redirige correctamente una petición de derecho de acceso al responsable de protección de datos. La entidad reconoció el fallo humano como causa de la no atención del derecho de acceso.
  3. Falta de notificación de brechas de seguridad, Finalmente, el error humano puede conllevar la infracción de la obligación de notificar brechas de seguridad, recogida en los artículos 33 y 34 RGPD. Como ejemplo, un empleado de la entidad no interpreta adecuadamente la comunicación de brecha de seguridad de la que alerta un cliente; cierra el expediente y no comunica la situación al delegado de protección de datos de la empresa, lo que resulta en una propuesta de sanción a la entidad de 120.000€.

Por tanto, es claro que el error humano, además de suponer un riesgo para los datos de carácter personal, es también un factor de riesgo económico y reputacional para la entidad y, en consecuencia, su prevención es fundamental para un funcionamiento adecuado, seguro y confiable.

Para ello, es necesario adoptar una serie de medidas que permitan reducir, lo máximo posible, el riesgo de fallos humanos que pongan en peligro la confidencialidad de los datos.

Medidas y prácticas para su minimización.

Para mitigar los riesgos de comisión del “error humano” en el ámbito laboral, pueden adoptarse una serie de medidas y prácticas que los empleados puedan conocer y poner en práctica en su actividad diaria, actuando de forma diligente y precavida en lo que a la custodia de datos se refiere.

  1. Formación y concienciación.

El conocimiento es fundamental para la evitación del error humano. Así, la impartición de formaciones concretas en materia de privacidad, tecnología, seguridad física y ciberseguridad y la concienciación en materia de protección de datos constituyen un punto de partida fundamental para la prevención de brechas de seguridad.

  • Uso de contraseñas robustas.

Otro de los elementos clave en materia de seguridad son las contraseñas que permiten el acceso de los empleados a los equipos y bases de datos que contienen datos personales. Por ello, es importante concienciar acerca del uso de contraseñas fuertes, que combinen mayúsculas, minúsculas, números y diferentes caracteres especiales y evitando fechas, nombres y apellidos o repeticiones de caracteres (“aaa”, “22222”) o el empleo de números consecutivos (“123456”) o palabras evidentes (“contraseña”, “nombre de la empresa”).

Es recomendable, también, el uso de gestores seguros de contraseñas.

  • Cambio habitual de contraseñas.

Para evitar violaciones de seguridad consecuencia del robo de contraseñas y claves de acceso, es conveniente también mentalizarse, en el ámbito laboral, de la relevancia que tiene el cambio periódico de estas, por ejemplo, cada 3 ó 6 meses.

  • Almacenado seguro y no compartido de contraseñas.

En relación con el punto anterior, puede resultar atractivo almacenar las claves y contraseñas, especialmente si van variando cada cierto tiempo. No obstante, acciones habituales como apuntarlas en post-its, cuadernos, carpetas o archivos de Word o bloc de notas, son prácticas que ponen en riesgo la seguridad de los datos, en tanto cualquiera que tenga acceso a las mismas, en última instancia, podrá tener acceso a los datos y la información protegidos por tales claves.

Por el mismo motivo, es fundamental también la conservación personal de las claves, sin compartirlas con otras personas, como queda patente aquí.

  • Autenticación de doble factor.

Otra de las formas de mantener la seguridad de los datos manejados en la entidad es el establecimiento de mecanismos de autenticación de doble factor.

Estos sistemas solicitan dos formas de verificación de identidad antes de permitir el acceso. Esto ayuda a evitar el acceso no autorizado y reduce el riesgo de infracciones.

  • Establecimiento de incentivos profesionales por cumplimiento demostrable de medidas de seguridad.

Para fomentar la aplicación de estas prácticas entre los empleados, es interesante plantear el establecimiento de medidas, beneficios o incentivos profesionales para aquellos trabajadores que asuman, implanten en sus rutinas y apliquen las buenas prácticas en materia de protección de datos que haya determinado la entidad.

  • Fomento del reconocimiento de los errores sin penalización.

Otra de las medidas que es interesante aplicar para aumentar las posibilidades de evitar el error humano, es la demostración, a los empleados, de la relevancia que tiene la seguridad frente a un fallo.

El error humano recibe este nombre porque, precisamente, las personas no son infalibles, pueden equivocarse y cometer errores. Es importante que para el trabajador prime la seguridad de los datos y pueda comunicar fallos que puedan afectar a la confidencialidad sin temor a sufrir represalias inmediatas por el descuido.

Esto no quiere decir que el trabajador quede libre de responsabilidad en casos especialmente graves, pero es interesante que, en errores ligeros o leves, cuya solución es sencilla si se comunican a tiempo, el empleado no tema comunicarlo al responsable de forma inmediata.

  • Mínimo privilegio y revocación de accesos.

Otra medida aplicable para evitar, en la medida de lo posible, el error humano, es la aplicación del principio de “mínimo privilegio”, es decir, asignar a cada empleado el acceso, única y exclusivamente, a los datos que sean necesarios para la realización de sus tareas.

Esto deberá aplicarse junto a la medida de revocación de accesos, esto es, toda vez que a un empleado deje de resultarle necesario para sus funciones el acceso a cierta información, se le debe retirar el permiso para acceder y visualizar tal información.

  • Entrenamiento en la detección de phishing en entornos cerrados.

Igualmente, importante es la educación y entrenamiento en la detección de intentos de phishing.

Será útil formar a los empleados, en el entorno de trabajo, a través de simulaciones creadas y controladas por el departamento de informática y programación, que les permitan aprender a desconfiar de ciertos enlaces de apariencia confiable, detectar señales comunes de phishing (como errores ortográficos, direcciones de email no corporativas o con nombres propios ajenos a la entidad, enlaces extraños o apremios de urgencia y exhortos a proporcionar datos personales, de contacto o bancarios por vías no seguras).

Es recomendable atender a consejos o instrucciones sobre phishing de entidades especializadas en materia de seguridad, como, por ejemplo, la que realiza INCIBE.

  1. Atención a las recomendaciones de entidades especializadas.

Como recomendación final, tanto para trabajadores como para responsables, es aconsejable conocer y seguir las guías, directrices, instrucciones o recomendaciones de entidades como INCIBE o la propia AEPD, que recogen una serie de consejos siempre útiles para aumentar la seguridad en el ámbito laboral, ya sea presencial o mediante la modalidad de teletrabajo.

Todas estas medidas, siempre bajo la óptica de la seguridad de los datos que detalla el art. 32 RGPD, que introduce medidas como la seudonimización o el cifrado de los datos para su mayor protección.

Además, combinando las prácticas mencionadas con la adopción de otras medidas protectoras de los datos que no dependan ya exclusivamente de los trabajadores, como el nombramiento de un delegado de protección de datos o la colaboración con asesorías y consultorías especializadas en privacidad y protección de datos, se conseguirá una protección especialmente reforzada de los datos e información de la entidad.

Estas medidas aplicadas en conjunto resultarán un entorno en el que los datos estarán seguros, aumentará la confianza del cliente en la entidad y conllevará un fortalecimiento reputacional de la empresa

Si quieres conocer más información sobre cómo actuar correctamente ante una brecha de seguridad puedes encontrarla en otra de nuestras entradas del blog pinchando aquí.

Escrito por: Claudia Román