En casa de herrero, cuchillo de palo. Este refrán español casa perfectamente con una brecha de seguridad que ocurrió dentro de la propia Agencia Española de Protección de Datos (AEPD).
En una reciente resolución ( 2067/2025 y 2108/2025), compartida por el jurista Juan González Rebollo en redes sociales, del Consejo de Transparencia y Buen Gobierno (CTBG) la AEPD es reprendida por no mostrar los estándares de diligencia del mismo modo que la autoridad exige al resto de afectados, lo que pone de manifiesto que la rendición de cuentas también alcanza a quien supervisa la protección de datos.
La AEPD sufre una brecha de seguridad que acaba con datos expuestos
Un ciudadano recibió en octubre de 2024 una comunicación de la AEPD por error. El destinatario era una empresa con la que había separado sus caminos hace años.
Sin embargo, en el correo había documentos anexados con datos identificativos de terceros (entre ellos, el DNI, el nombre, los apellidos y la firma).
Este ciudadano solicitó a la AEPD conocer cómo había gestionado internamente dicha violación de la protección de datos.
La autoridad responde, pero parcialmente: confirma que sí que hubo una fuga de datos, que fue comunicada y documentada, pero que dicha violación no entrañaba un alto riesgo para los derechos y libertades de las personas físicas afectadas según lo dispuesto en el artículo 34 del Reglamento General de Protección de Datos (RGPD).
Sin embargo, no atiende una de las peticiones del ciudadano: la AEPD no facilita la fecha de notificación de la brecha.
Conocer la fecha en estos contextos es importante, ya que el Reglamento General de Protección de Datos (RGPD), en su artículo 33, fija una regla clara: en cuanto la entidad conozca de la violación de su seguridad debe comunicar a la autoridad de control este hecho en un máximo de 72 horas.
La AEPD justifica la negación de revelar esta información porque, al amparo del precepto podría perjudicar las investigaciones, afectar a sus propias funciones de control, y, además, comprometer la seguridad.
Disconforme con el criterio objetado por la AEPD, el ciudadano se dirigen ante Transparencia para que haga de árbitro entre la disputa que ha comenzado contra la autoridad de control.
Transparencia corrige el criterio de la AEPD y rechaza que pueda ocultar la fecha de notificación de la brecha
El caso presenta una particularidad relevante: la AEPD actúa simultáneamente como responsable del tratamiento y como autoridad de control, lo que refuerza el interés público en conocer cómo aplica a sí misma las obligaciones del RGPD
El CTBG si concuerda con la AEPD sobre la denegación de acceso a la información técnica y el resto de circunstancias, como el origen y las consecuencias de la brecha de seguridad, originadas por la brecha de seguridad en función del artículo 33 del RGPD (que obliga a los responsables de tratamiento de datos personales comunicar a la autoridad de control dicha información para iniciar la investigación correspondiente).
Sin embargo, esta doctrina no resulta aplicable a este caso debido a que el objeto de reclamación por parte del ciudadano no es conocer dicha información sino el dato relativo a la fecha en la que dicho responsable de tratamiento comunicó a la Autoridad de control dicha violación de la protección de datos.
«El objeto de este proceso no es la pretensión de acceder a toda la información enunciada en la solicitud inicial, sino la mucho más limitada, fruto de las acotaciones realizadas por el propio reclamante en el transcurso de este procedimiento, circunscribiéndola finalmente al dato relativo a «la fecha en la que se comunicó la brecha de seguridad reconocida»», incide Transparencia.
En este caso, el CTBG avala que no hay justificación ni aprecia «en qué medida la revelación de la concreta información sobre la fecha de comunicación de la brecha de seguridad podría perjudicar las actuaciones de investigación (y eventual sanción) emprendidas por la AEPD en relación con la violación de seguridad acaecida, o con el tratamiento posterior que el destinatario haya hecho de los datos personales revelados».
Pues, en este caso, la AEPD no demuestra cómo podría perjudicar la investigación, además de que invocar que «afecta a las funciones de control» es un argumento muy genérico. Transparencia recuerda que los límites a la transparencia deben interpretarse de forma estricta y que no basta con invocarlos: hay que probarlos.
Además, considera que la fecha en que se produjo la violación de la protección de datos no puede ser omitida por la organización yes un dato con valor jurídico propio, ya que permite comprobar si se respetó el plazo del artículo 33 del RGPD.
Por todo ello, el Consejo de Transparencia ordena a la AEPD que, en un plazo de diez días, facilite la fecha en la que notificó la brecha de seguridad.
La resolución refuerza una idea clave: la transparencia no se detiene ante el supervisor. También la autoridad encargada de vigilar el cumplimiento del RGPD debe rendir cuentas cuando actúa como responsable del tratamiento.
