L'Agència Espanyola de Protecció de Dades va notificar una bretxa de seguretat el 9 de setembre de 2025, més de cinc mesos després d'haver tingut constància de l'incident. La incidència es remunta al 2 d'abril de 2025, quan l'organisme va remetre per error a un destinatari equivocat un escrit d'un expedient administratiu amb annexos que contenien informació personal de tercers.
Aquell mateix dia, la persona que va rebre la documentació va comunicar formalment a la mateixa Agència que l'enviament s'havia produït per error. Malgrat això, la notificació de la bretxa no es va realitzar fins al setembre. La documentació examinada no incorpora una explicació detallada sobre aquesta demora.
Un error d'enviament amb dades identificatives de tercers
La bretxa no va estar vinculada a un ciberatac ni a una intrusió informàtica. Es va produir per una fallada humana en l'enviament de documentació. El material remès per error incloïa noms i cognoms, números de DNI i signatures manuscrites, dades que la mateixa Agència va qualificar com a identificatius.
El Reglament General de Protecció de Dades considera bretxa de seguretat qualsevol divulgació no autoritzada de dades personals, també quan deriva d'un error humà. L'article 33 d'aquesta norma estableix que aquests incidents s'han de notificar sense retard i, quan sigui possible, en un termini màxim de 72 hores des que se'n té constància.
Sense investigació específica sobre l'incident
L'Agència no va obrir una investigació específica sobre aquesta bretxa. Entre els arguments exposats per no fer-ho figuren l'absència de reclamacions dels afectats, que les dades no eren especialment sensibles i que el destinatari ja coneixia una part de la informació.
L'Agència també va sostenir que no existia obligació de comunicar l'incident a les persones afectades en no apreciar un alt risc per als seus drets i llibertats. Tot i així, la documentació deixa constància que l'arxiu enviat per error va romandre accessible durant un temps a través d'un sistema de verificació electrònica amb codi segur. L'Agència va defensar que aquest accés estava limitat, tot i que aquest mecanisme va permetre validar el document durant mesos.
El Consell de Transparència va obligar a revelar la data
La data concreta de notificació no va ser facilitada d'inici. L'Agència es va negar inicialment a comunicar-la després d'una sol·licitud presentada al Portal de Transparència. La reclamació posterior va ser estimada pel Consell de Transparència i Bon Govern, que va obligar l'organisme a informar de quan havia notificat la bretxa.
En la seva resolució, el Consell va entendre que aquesta data tenia interès públic perquè permetia comprovar si l'Agència havia actuat dins dels terminis fixats per la normativa europea. També va descartar que donar aquesta dada pogués perjudicar les funcions d'investigació de l'organisme.
L'AEPD és l'autoritat encarregada de vigilar el compliment de la normativa de protecció de dades a Espanya, així com d'investigar possibles infraccions i sancionar conductes contràries a la llei. En tancar, no s'havia pronunciat sobre la demora de més de cinc mesos ni sobre els motius concrets d'aquesta tardança.