Protección de Datos tardó cinco meses en comunicar una brecha de seguridad

La Agencia Española de Protección de Datos (AEPD) tardó más de cinco meses en comunicar una brecha de seguridad causada por un envío erróneo de documentación con datos personales a un destinatario equivocado. La normativa europea establece que estos incidentes deben notificarse sin retraso y, cuando sea posible, en un plazo máximo de 72 horas desde que se tiene constancia.

A través de los documentos a los que ha accedido THE OBJECTIVE, se constata que el 2 de abril de 2025 la Agencia remitió un escrito dentro de un expediente administrativo acompañado de anexos con información personal. Ese mismo día, el destinatario comunicó a la AEPD que había recibido esa documentación por error, dejando constancia formal del incidente desde ese momento.

Sin embargo, la fecha en la que la Agencia notificó la brecha no se conoció hasta meses después. La AEPD se negó inicialmente a facilitar ese dato tras una solicitud de acceso a información en el Portal de Transparencia. El organismo solo se vio obligado a comunicarlo tras la intervención del Consejo de Transparencia y Buen Gobierno, que estimó la reclamación. Al cierre de esta edición, Protección de Datos no se había pronunciado sobre el asunto.

Con posterioridad al cierre de esta edición, THE OBJECTIVE recibió la siguiente contestación del organismo: “Una persona pidió acceder a la información sobre la brecha. La AEPD, al ser de aplicación de los límites que establece el artículo 14 de la Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno, concedió un acceso parcial. Esa persona reclamó ante el Consejo de Transparencia y Buen Gobierno, que ratificó el criterio general adoptado por la Agencia con la única excepción de la fecha de notificación de la brecha antes citada”.

La Ley de Protección de Datos

La fecha finalmente revelada fue el 9 de septiembre de 2025, lo que indica que entre el conocimiento del incidente y su notificación transcurrieron más de cinco meses. Este desfase adquiere relevancia a la luz del artículo 33 del Reglamento General de Protección de Datos (RGPD), que obliga a comunicar este tipo de situaciones en un plazo máximo de 72 horas o, en caso contrario, justificar el retraso.

La documentación analizada no recoge una explicación detallada que permita entender una demora de esta magnitud. El Consejo de Transparencia consideró que la fecha solicitada tenía un interés público propio, ya que permitía comprobar si la Agencia cumplió con los plazos establecidos en la normativa europea.

El incidente no fue consecuencia de un ataque externo ni de una intrusión informática. Se produjo por un error en el envío de documentación, lo que no altera su calificación jurídica. El Reglamento considera brecha de seguridad cualquier divulgación no autorizada de datos personales, incluso cuando deriva de un fallo humano.

Expediente administrativo

El incidente se produjo en el marco de un expediente administrativo, ya que la documentación remitida formaba parte de un procedimiento en curso. Este contexto exige un mayor control en el tratamiento de la información y refuerza la obligación de actuar con diligencia cuando se produce un error que afecta a datos personales de terceros.

Los documentos enviados incluían datos personales de terceros, entre otros, nombres y apellidos, números de DNI y firmas manuscritas. La propia Agencia calificó estos datos como identificativos y sostuvo que no implicaban un alto riesgo para los afectados, lo que, a su juicio, descartaba la obligación de comunicarles el incidente.

No obstante, la ausencia de un alto riesgo no elimina la obligación de documentar la brecha y, en su caso, notificarla a la autoridad de control, conforme al artículo 33 del RGPD. Tampoco impide analizar si la respuesta fue diligente. La exposición de datos identificativos completos ha sido considerada en otras ocasiones como una infracción relevante por la propia AEPD.

La función de la AEPD

La AEPD es el organismo encargado de supervisar el cumplimiento de la normativa de protección de datos en España, investigar posibles infracciones y sancionar conductas contrarias a la ley. Su función es garantizar que empresas y administraciones custodien adecuadamente la información personal de los ciudadanos.

En este contexto, el hecho de que la propia autoridad haya sufrido una brecha de seguridad, tardado meses en comunicarla y negado inicialmente a facilitar un dato clave es relevante. La situación plantea dudas sobre la coherencia entre el estándar que exige a terceros y su propia actuación.

Pese a estos antecedentes y a la posterior exposición de datos personales, la AEPD no inició una investigación específica sobre la brecha. Entre los argumentos utilizados figura la ausencia de reclamaciones por parte de los afectados, la consideración de que los datos no eran especialmente sensibles y el hecho de que el destinatario ya conociera parte de la información.

Información accesible

La documentación también refleja que el archivo remitido por error permaneció accesible durante un tiempo mediante un sistema de verificación electrónica basado en código seguro. Aunque la Agencia sostiene que el acceso estaba limitado, ese mecanismo permitió la validación del documento durante meses.

En su resolución, el Consejo de Transparencia descartó que facilitar la fecha pudiera perjudicar las funciones de investigación de la Agencia y subrayó que ese dato no era accesorio, sino esencial para verificar el cumplimiento del RGPD. La propia AEPD había alegado que la información podía descontextualizarse o afectar a sus competencias, argumentos que fueron rechazados al no apreciarse un riesgo real en la divulgación de un elemento concreto como la fecha de notificación. Este pronunciamiento refuerza la relevancia del caso, al confirmar que la información solicitada tenía interés público y debía hacerse accesible.

El asunto no se limita a un error puntual, sino que afecta a la forma en la que el regulador gestiona una brecha bajo su responsabilidad. El retraso en la notificación y la negativa inicial a facilitar información clave refuerzan esa percepción. El episodio abre interrogantes sobre los criterios aplicados por la Agencia y sobre la consistencia de su actuación. Además, plantea si el nivel de exigencia que aplica a empresas y Administraciones se mantiene cuando el incidente se produce en el propio organismo encargado de velar por la protección de datos.