La Agencia Española de Protección de Datos conoció el 2 de abril de 2025 una brecha de seguridad provocada por el envío erróneo de documentación con datos personales a un destinatario equivocado, pero la comunicación oficial no se produjo hasta el 9 de septiembre de 2025, más de cinco meses después.
La incidencia se originó dentro de un procedimiento administrativo en curso y no en un ciberataque. La persona que recibió los archivos notificó formalmente lo ocurrido ese mismo 2 de abril. Entre la documentación remitida figuraban nombres y apellidos, números de DNI y firmas manuscritas.
Un plazo muy superior al previsto en el RGPD
El artículo 33 del Reglamento General de Protección de Datos fija un máximo de 72 horas para notificar una brecha de seguridad, salvo que exista una justificación adecuada del retraso. En la documentación examinada no consta una explicación detallada que motive una demora de más de cinco meses.
La fecha exacta de la notificación no fue facilitada en un primer momento por la AEPD, pese a haber sido solicitada a través del Portal de Transparencia. Esa negativa obligó a presentar una reclamación ante el Consejo de Transparencia y Buen Gobierno.
La fecha salió a la luz tras una reclamación
El Consejo de Transparencia y Buen Gobierno estimó la petición y obligó a la AEPD a revelar cuándo había comunicado la brecha. En su resolución, el organismo entendió que esa información tenía interés público porque permitía comprobar si se habían respetado los plazos previstos en el RGPD.
También rechazó los argumentos de la Agencia sobre los posibles perjuicios que, a su juicio, podría ocasionar la difusión de ese dato en el ejercicio de sus funciones.
Sin investigación específica sobre el incidente
La AEPD no abrió una investigación específica sobre lo ocurrido. Entre las razones expuestas para no hacerlo figuran la ausencia de reclamaciones por parte de los afectados, que los datos remitidos no eran especialmente sensibles y que el destinatario ya conocía parcialmente la información.
La propia Agencia calificó los datos expuestos como identificativos y consideró que no implicaban un alto riesgo para los afectados. Aun así, la documentación enviada por error permaneció accesible durante un periodo prolongado a través de un sistema de verificación electrónica mediante código seguro, aunque la AEPD sostiene que ese acceso estaba restringido.
El caso deja abierta la discusión sobre el cumplimiento de los tiempos de comunicación en una brecha que la propia autoridad de protección de datos conocía desde el primer día y cuya fecha de notificación solo se hizo pública después de la intervención del órgano de transparencia.