L'Agència Espanyola de Protecció de Dades va conèixer el 2 d'abril de 2025 una bretxa de seguretat provocada per l'enviament erroni de documentació amb dades personals a un destinatari equivocat, però la comunicació oficial no es va produir fins el 9 de setembre de 2025, més de cinc mesos després.
La incidència es va originar dins d'un procediment administratiu en curs i no en un ciberatac. La persona que va rebre els arxius va notificar formalment el que va passar aquell mateix 2 d'abril. Entre la documentació remesa hi figuraven noms i cognoms, números de DNI i signatures manuscrites.
Un termini molt superior al previst en el RGPD
L'article 33 del Reglament General de Protecció de Dades fixa un màxim de 72 hores per notificar una bretxa de seguretat, llevat que hi hagi una justificació adequada del retard. En la documentació examinada no consta una explicació detallada que motivi una demora de més de cinc mesos.
La data exacta de la notificació no va ser facilitada en un primer moment per l'AEPD, malgrat haver estat sol·licitada a través del Portal de Transparència. Aquesta negativa va obligar a presentar una reclamació davant el Consell de Transparència i Bon Govern.
La data va sortir a la llum després d'una reclamació
El Consell de Transparència i Bon Govern va estimar la petició i va obligar l'AEPD a revelar quan havia comunicat la bretxa. En la seva resolució, l'organisme va entendre que aquesta informació tenia interès públic perquè permetia comprovar si s'havien respectat els terminis previstos en el RGPD.
També va rebutjar els arguments de l'Agència sobre els possibles perjudicis que, al seu parer, podria ocasionar la difusió d'aquesta dada en l'exercici de les seves funcions.
Sense investigació específica sobre l'incident
L'AEPD no va obrir una investigació específica sobre el que va passar. Entre les raons exposades per no fer-ho figuren l'absència de reclamacions per part dels afectats, que les dades remeses no eren especialment sensibles i que el destinatari ja coneixia parcialment la informació.
La mateixa Agència va qualificar les dades exposades com a identificatives i va considerar que no implicaven un alt risc per als afectats. Tot i així, la documentació enviada per error va romandre accessible durant un període prolongat a través d'un sistema de verificació electrònica mitjançant codi segur, tot i que l'AEPD sosté que aquest accés estava restringit.
El cas deixa oberta la discussió sobre el compliment dels temps de comunicació en una bretxa que la mateixa autoritat de protecció de dades coneixia des del primer dia i la data de notificació de la qual només es va fer pública després de la intervenció de l'òrgan de transparència.