La AEPD tardó cinco meses en avisar de una brecha

Resulta paradójico que la institución encargada de velar por el cumplimiento estricto de la privacidad en España se vea envuelta en un episodio de opacidad informativa tras un error propio. La Agencia Española de Protección de Datos (AEPD), que habitualmente sanciona con rigor los retrasos en las notificaciones de incidentes de seguridad, ha protagonizado un caso de incumplimiento normativo al dilatar durante más de cinco meses la comunicación oficial de una brecha de seguridad que afectó a ciudadanos particulares.

El silencio administrativo frente a la regla de las 72 horas

Según el marco jurídico del Reglamento General de Protección de Datos (RGPD), cualquier entidad que sufra un incidente que comprometa información personal debe notificarlo a la autoridad de control en un plazo máximo de 72 horas. Sin embargo, en un giro de los acontecimientos que cuestiona la ejemplaridad del regulador, la propia AEPD dejó pasar el tiempo desde abril hasta septiembre de 2025 antes de formalizar el registro de un incidente que ella misma conocía desde el primer minuto.

El origen del conflicto se sitúa en un error humano durante la tramitación de un expediente administrativo. Un envío erróneo de documentación técnica permitió que un tercero ajeno al procedimiento tuviera acceso a datos sensibles. A pesar de que el receptor notificó el error el mismo día del suceso, la maquinaria interna de la Agencia no activó los protocolos de transparencia y notificación urgente que exige a las empresas privadas y otras administraciones públicas.

Transparencia: el muro que obligó a revelar la verdad

La fecha exacta en la que se registró la brecha no fue fruto de una comunicación voluntaria y proactiva por parte del organismo. Por el contrario, fue necesaria la intervención del Consejo de Transparencia y Buen Gobierno tras una reclamación ante la negativa inicial de la AEPD a facilitar este dato. La cronología de los hechos revela una resistencia administrativa significativa:

  • Abril de 2025: Se produce el envío erróneo y el receptor alerta del fallo de seguridad.
  • Periodo de silencio: Durante meses, la incidencia permanece en un limbo administrativo sin ser notificada formalmente.
  • Septiembre de 2025: Fecha en la que finalmente se registra la brecha de seguridad, cinco meses después del suceso original.
  • Resolución externa: El Consejo de Transparencia dictamina que conocer la fecha es de interés público para auditar el cumplimiento legal del regulador.

Análisis del riesgo: ¿fueron datos de bajo impacto?

La defensa de la Agencia se ha centrado en minimizar las consecuencias del incidente. Según sus propios criterios, la exposición de nombres, apellidos, firmas manuscritas y números de DNI no suponía un «alto riesgo» para los derechos y libertades de los afectados. Esta interpretación fue la que, según el organismo, justificó la decisión de no informar individualmente a las personas cuyos datos fueron expuestos.

No obstante, expertos en ciberseguridad y derecho digital señalan que la ausencia de un riesgo catastrófico no exime de la obligación de documentar y notificar el suceso en los plazos previstos. La coherencia del sistema de protección de datos en España se basa en que el regulador aplique los mismos estándares de diligencia que exige en sus resoluciones sancionadoras, donde la exposición de documentos nacionales de identidad suele ser considerada una infracción de la normativa.

Consecuencias sobre la credibilidad institucional

El hecho de que no se iniciara una investigación interna de oficio para depurar responsabilidades o analizar el fallo en los sistemas de verificación electrónica añade una capa de complejidad al caso. El documento afectado estuvo accesible mediante códigos de verificación seguros durante un tiempo prolongado, lo que demuestra que el error no fue solo un correo mal enviado, sino un fallo en la custodia de la información administrativa.

Este episodio deja en el aire una pregunta fundamental para la seguridad jurídica en España: ¿existe una doble vara de medir para el regulador? La falta de justificación para un retraso de 150 días en la notificación de una brecha de seguridad debilita la posición de la AEPD a la hora de exigir celeridad a terceros. La transparencia no debería ser una concesión lograda tras batallas legales, sino el pilar de un organismo cuya misión es, precisamente, proteger la integridad de la información ciudadana.

En conclusión, el caso subraya la necesidad de mecanismos de supervisión externa más robustos para las autoridades de control. Cuando el vigilante falla y oculta el momento exacto de su error, la confianza del usuario en el sistema de protección de datos personales sufre un daño difícil de reparar únicamente con resoluciones administrativas.