La Agencia Española de Protección de Datos (AEPD) remitió por error un documento con datos personales sensibles, incluyendo DNI y firmas, a un destinatario no autorizado.
El incidente ocurrió durante un procedimiento administrativo cuando se envió información confidencial de diez personas al reclamante del expediente.
Aunque la AEPD califica el suceso como un error administrativo sin consecuencias graves, ha sido obligada a facilitar la fecha en la que registró internamente la brecha.
La institución sostiene que los datos no eran especialmente sensibles y que ya eran parcialmente conocidos por el receptor, minimizando así el impacto del fallo.
Un fallo administrativo con repercusiones en la privacidad
La Agencia Española de Protección de Datos (AEPD), autoridad responsable de velar por el cumplimiento de la normativa en esta materia, ha reconocido una violación de seguridad en el tratamiento de datos personales. Este incidente, que la institución ha calificado internamente como un fallo administrativo accidental, supuso la exposición de información sensible de diez trabajadores, contraviniendo los protocolos de confidencialidad que la propia entidad supervisa.
El suceso se originó en el contexto de un procedimiento administrativo ya abierto entre la AEPD y un ciudadano. Dicho afectado, que participaba como parte interesada, recibió por equivocación un requerimiento que la Agencia debía haber enviado a una entidad externa. El error radicó en la inclusión de anexos que contenían datos personales identificativos, tales como nombres, apellidos, números de DNI y firmas manuscritas de los integrantes de la empresa destinataria.
Proceso de solicitud y transparencia informativa
Tras percatarse de la recepción de dicha información, el ciudadano solicitó formalmente el acceso a los registros relativos a la gestión de este incidente. El proceso administrativo fue evolucionando, con una petición inicial que abarcaba diversos expedientes internos. Finalmente, el reclamante focalizó su requerimiento en un dato concreto: la fecha exacta en la que la Agencia comunicó la brecha de seguridad.
La respuesta inicial de la AEPD concedió únicamente un acceso parcial a la información solicitada. Si bien la entidad confirmó la existencia de la brecha y su correspondiente documentación interna, se negó a facilitar la fecha pedida. La Agencia fundamentó esta negativa argumentando que la divulgación de tal información podría afectar a sus funciones de control, inspección e investigación, además de señalar que proporcionar un dato aislado podría derivar en una interpretación incompleta del contexto.
Resolución administrativa y análisis de riesgo
La resolución del conflicto administrativo ha determinado que la AEPD deberá facilitar al solicitante la fecha en la que se comunicó internamente la brecha. No obstante, el acceso se restringe estrictamente a este dato temporal, sin permitir la consulta de otros contenidos, registros o detalles adicionales sobre la tramitación específica del incidente.
La postura oficial de la AEPD sostiene que el error no ha ocasionado daños ni perjuicios tangibles a las diez personas afectadas. Según la argumentación de la Agencia, gran parte de los datos comprometidos, incluidos los nombres, apellidos y ocho de los números de DNI, ya obraban en poder del reclamante debido a su participación en un procedimiento anterior. En consecuencia, la institución determinó que no era preciso implementar actuaciones adicionales, al considerar que no existía un riesgo relevante para los derechos y libertades de las personas cuyos datos fueron expuestos en este fallo.
