La Agencia Española de Protección de Datos notificó una brecha de seguridad el 9 de septiembre de 2025, más de cinco meses después de haber tenido constancia del incidente. La incidencia se remonta al 2 de abril de 2025, cuando el organismo remitió por error a un destinatario equivocado un escrito de un expediente administrativo con anexos que contenían información personal de terceros.
Ese mismo día, la persona que recibió la documentación comunicó formalmente a la propia Agencia que el envío se había producido por error. Pese a ello, la notificación de la brecha no se realizó hasta septiembre. La documentación examinada no incorpora una explicación detallada sobre esa demora.
Un error de envío con datos identificativos de terceros
La brecha no estuvo vinculada a un ciberataque ni a una intrusión informática. Se produjo por un fallo humano en el envío de documentación. El material remitido por error incluía nombres y apellidos, números de DNI y firmas manuscritas, datos que la propia Agencia calificó como identificativos.
El Reglamento General de Protección de Datos considera brecha de seguridad cualquier divulgación no autorizada de datos personales, también cuando deriva de un error humano. El artículo 33 de esa norma establece que estos incidentes deben notificarse sin retraso y, cuando sea posible, en un plazo máximo de 72 horas desde que se tiene constancia.
Sin investigación específica sobre el incidente
La Agencia no abrió una investigación específica sobre esta brecha. Entre los argumentos expuestos para no hacerlo figuran la ausencia de reclamaciones de los afectados, que los datos no eran especialmente sensibles y que el destinatario ya conocía una parte de la información.
La Agencia también sostuvo que no existía obligación de comunicar el incidente a las personas afectadas al no apreciar un alto riesgo para sus derechos y libertades. Aun así, la documentación deja constancia de que el archivo enviado por error permaneció accesible durante un tiempo a través de un sistema de verificación electrónica con código seguro. La Agencia defendió que ese acceso estaba limitado, aunque ese mecanismo permitió validar el documento durante meses.
El Consejo de Transparencia obligó a revelar la fecha
La fecha concreta de notificación no fue facilitada de inicio. La Agencia se negó inicialmente a comunicarla tras una solicitud presentada en el Portal de Transparencia. La reclamación posterior fue estimada por el Consejo de Transparencia y Buen Gobierno, que obligó al organismo a informar de cuándo había notificado la brecha.
En su resolución, el Consejo entendió que esa fecha tenía interés público porque permitía comprobar si la Agencia había actuado dentro de los plazos fijados por la normativa europea. También descartó que dar ese dato pudiera perjudicar las funciones de investigación del organismo.
La AEPD es la autoridad encargada de vigilar el cumplimiento de la normativa de protección de datos en España, así como de investigar posibles infracciones y sancionar conductas contrarias a la ley. Al cierre, no se había pronunciado sobre la demora de más de cinco meses ni sobre los motivos concretos de esa tardanza.