La Agencia Española de Protección de Datos (AEPD) tuvo constancia de una brecha de seguridad el 2 de abril de 2025 tras remitir por error documentación con datos personales a un destinatario equivocado.
Ese mismo día, la persona que recibió los archivos notificó formalmente la incidencia, dejando registro inmediato del fallo.
Este tipo de situaciones, aunque derivadas de errores humanos y no de ciberataques, se consideran brechas de seguridad según el marco normativo europeo al implicar una divulgación no autorizada de información personal.
La documentación enviada formaba parte de un expediente administrativo en curso, lo que incrementa el nivel de exigencia en la gestión y custodia de la información.
Retraso en la notificación y falta de transparencia inicial
Según desvela The Objective, la comunicación oficial de la brecha no se produjo hasta el 9 de septiembre de 2025, lo que implica un retraso superior a cinco meses desde que la AEPD tuvo conocimiento del incidente.
Esta demora contrasta con lo establecido en el artículo 33 del Reglamento General de Protección de Datos (RGPD), que fija un plazo máximo de 72 horas para notificar este tipo de situaciones, salvo que se justifique adecuadamente el retraso.
La fecha de notificación no fue facilitada inicialmente por la Agencia pese a haberse solicitado a través del Portal de Transparencia.
El organismo denegó ese dato en un primer momento, lo que obligó a elevar una reclamación ante el Consejo de Transparencia y Buen Gobierno. Fue este órgano el que finalmente estimó la petición y obligó a la AEPD a revelar la información.
El papel del Consejo de Transparencia y Buen Gobierno
La intervención del Consejo de Transparencia resultó determinante para esclarecer los tiempos de actuación de la Agencia.
Este organismo consideró que la fecha de notificación tenía un interés público evidente, ya que permitía verificar si se habían cumplido los plazos establecidos en la normativa europea.
En su resolución, el Consejo rechazó los argumentos de la AEPD, que alegaba posibles perjuicios en sus funciones si se hacía pública esa información.
El órgano independiente concluyó que la divulgación de la fecha no comprometía ninguna investigación ni suponía un riesgo real, reforzando así el principio de transparencia en la actuación de las instituciones públicas.
Un error humano con implicaciones legales
El incidente no tuvo su origen en un ataque informático, sino en un envío erróneo dentro de un procedimiento administrativo.
Sin embargo, el RGPD es claro al considerar que cualquier acceso o divulgación no autorizada, independientemente de su causa, constituye una brecha de seguridad.
Los documentos remitidos incluían datos personales como nombres y apellidos, números de DNI y firmas manuscritas.
Aunque la propia Agencia calificó estos datos como identificativos y consideró que no implicaban un alto riesgo para los afectados, este tipo de información ha sido objeto de sanción en otros casos similares cuando ha sido expuesta sin autorización.
Obligaciones legales y posibles incumplimientos
El artículo 33 del RGPD establece que las brechas de seguridad deben notificarse sin dilación indebida y, siempre que sea posible, en un plazo máximo de 72 horas desde que se tiene constancia. En caso de no cumplir ese plazo, la normativa exige justificar las razones del retraso.
En la documentación analizada no consta una explicación detallada que justifique una demora de más de cinco meses.
Este vacío resulta especialmente relevante si se tiene en cuenta que la AEPD es la autoridad encargada de velar por el cumplimiento de estas obligaciones por parte de empresas y administraciones.
Además, la ausencia de alto riesgo para los afectados no elimina la obligación de documentar la brecha ni de notificarla a la autoridad de control. Tampoco exime de evaluar si la respuesta fue diligente y acorde a los estándares exigidos por la normativa.
¿Falta de investigación interna tras el incidente?
Pese a la naturaleza del caso y a la exposición de datos personales, la AEPD no inició una investigación específica sobre lo ocurrido.
Entre los argumentos utilizados se encuentran la inexistencia de reclamaciones por parte de los afectados, la consideración de que los datos no eran especialmente sensibles y el hecho de que el destinatario ya conociera parcialmente la información.
Sin embargo, estos factores no invalidan la necesidad de revisar los procedimientos internos, especialmente cuando el incidente se produce en el seno de la propia autoridad supervisora.
La ausencia de una investigación formal puede interpretarse como una falta de autocrítica institucional en un ámbito donde la diligencia es clave.
Accesibilidad de la documentación y riesgos asociados
Otro elemento relevante del caso es que la documentación enviada por error permaneció accesible durante un periodo prolongado a través de un sistema de verificación electrónica mediante código seguro.
Aunque la Agencia sostiene que el acceso estaba restringido, este mecanismo permitió validar el contenido durante meses.
La persistencia de acceso a información personal, aunque sea limitada, incrementa el riesgo potencial de exposición indebida.
Este aspecto es especialmente crítico en un entorno donde las filtraciones de datos y su uso fraudulento han aumentado de forma significativa en los últimos años.
La AEPD tiene como misión garantizar que empresas y administraciones gestionen adecuadamente los datos personales, investigando infracciones y aplicando sanciones cuando corresponde.
El hecho de que el propio organismo haya protagonizado una brecha, haya tardado meses en comunicarla y haya limitado inicialmente el acceso a información clave plantea interrogantes sobre su actuación.
