Visitas semanales en For best Negocios

jueves, 5 de marzo de 2026

¿Cazador cazado o pacto de silencio? Las sombras tras la brecha de seguridad de la AEPD y el "oportuno y sospechoso" archivo de una investigación relacionada

 

Imagen creada con IA 

Si parece un pato, nada como un pato, y grazna como un pato, entonces probablemente sea un pato.

SERVIPRESS / ESPAÑA - La Agencia Española de Protección de Datos (AEPD), con el único fin de no iniciar un procedimiento sancionador a una empresa a la cual un mes antes la propia Agencia había filtrado por error los datos personales de toda su plantilla, vulneró la ley, la jurisprudencia y su propio criterio. Asimismo, la documentación obrante  transmite serias sospechas de un presunto acuerdo extraoficial entre la entidad privada y el organismo público.

El caso de la brecha de seguridad en la Agencia Española de Protección de Datos (AEPD) ha dejado de ser un simple error administrativo para convertirse en un enigma procedimental que hace tambalearse los cimientos de la confianza en el supervisor. La intervención del Consejo de Transparencia (CTBG) no ha hecho más que poner el foco sobre una serie de decisiones internas y una opacidad que, vistas en conjunto, resultan, cuanto menos, inquietantes.

Si analizamos la cronología y los hechos bajo la lupa de la "diligencia debida" que la propia AEPD exige, las preguntas surgen en cascada:

1. La Paradoja de la Inacción Oficiosa

Llama poderosamente la atención que la institución que tiene la potestad —y a menudo la obligación— de actuar de oficio ante cualquier indicio de vulneración de datos, decidiera en su propio caso que "sin reclamación formal no hay investigación". ¿Por qué el estándar de proactividad que se aplica a una multinacional o a un ayuntamiento no se aplicó internamente? Esta decisión genera una duda razonable: ¿Se buscaba proteger la reputación de la institución por encima del cumplimiento estricto del RGPD?

2. El Factor Tiempo: ¿Negligencia o Estrategia?

Cuatro meses (de abril a agosto) es una eternidad en el entorno digital. Que documentos con datos tan sensibles como DNI y firmas manuscritas permanecieran accesibles en la web institucional, incluso bajo un sistema de CSV y autentificación, resulta incomprensible para un ente experto. ¿Nadie dentro de la Agencia monitorizó la subsanación del error durante ese tercio de año? ¿Fue un fallo sistémico de control o una preocupante falta de urgencia interna? El hecho de que la retirada solo se produjera tras la advertencia del afectado añade una capa más de bochorno procedimental. Los documentos siguen estando en la carpeta ciudadana de un tercero.

3. La "Casualidad" más Ocupante: El Expediente EXP202411384

Este es el punto donde la coincidencia temporal desafía la lógica administrativa habitual. Mientras la AEPD debía gestionar internamente su propia brecha, tramitaba una reclamación contra la empresa DIGIMAN ALICANTE, S.L..

Los documentos oficiales revelan una cronología que genera una sombra de duda sobre la imparcialidad del proceso:

  • Agosto de 2024: Se registra la reclamación original contra la empresa por la presencia de imágenes personales en diversas URLs.
  • Septiembre de 2024: La empresa admite que las imágenes seguían publicadas por un descuido, tras cuatro años y medio negando su existencia y confirma haber recibido un burofax del afectado el día 2 de ese mes.
  • El Limbo de 8 meses: A pesar de que la empresa dio sus explicaciones en septiembre de 2024, la Agencia mantuvo el expediente abierto sin movimientos aparentes durante tres trimestres.
  • Mayo de 2025: Solo semanas después de que estallara el escándalo de la brecha de seguridad interna de la AEPD, la Agencia decide, "en base a lo anteriormente expuesto" (refiriéndose a los hechos de septiembre), archivar las actuaciones.

¿Es creíble que se necesitaran nueve meses para validar una respuesta de septiembre y que el "carpetazo" coincida precisamente con el momento de mayor debilidad de la Agencia tras su propia filtración?

Este es el punto donde la coincidencia temporal desafía la lógica administrativa habitual. Mientras la AEPD sufría y gestionaba internamente (de aquella manera) la brecha que afectaba a trabajadores de una empresa específica, esa misma empresa estaba siendo investigada por la Agencia.

  • ¿Hubo alguna relación, directa o indirecta, entre la brecha provocada por el regulador y el archivo de la causa contra el regulado?
  • ¿Sintió la AEPD que perdía la legitimidad moral o legal para sancionar a una entidad cuyos trabajadores acababan de ver sus datos expuestos por culpa de la propia Agencia?
  • ¿Estamos ante un "borrón y cuenta nueva" no oficial para evitar un escándalo mayor?

4. Las deficientes e irregulares diligencias de comprobación

A todo lo expuesto se suma la alarmante debilidad de la fase instructora. Resulta inaceptable que la AEPD utilizara como argumento principal para el archivo unas diligencias de comprobación cuyas deficiencias son evidentes y han sido demostradas. Dichas actuaciones técnicas fueron tan irregulares que resultaba materialmente imposible determinar si en las páginas web denunciadas existían o no imágenes del reclamante. Basar un cierre de expediente en comprobaciones que no comprueban nada supone una dejación de funciones y una quiebra del principio de veracidad.

5. El Malabarismo Jurídico: ¿Un "atajo" para el carpetazo?

El punto más crítico de la resolución de archivo firmada el 6 de mayo de 2025 es su fundamentación legal. La AEPD justifica el cierre del caso citando el artículo 65.4 de la LOPDGDD.

Sin embargo, este artículo es un mecanismo previo a la admisión a trámite que permite inadmitir reclamaciones si el responsable demuestra haber adoptado medidas correctoras en el plazo de un mes tras el traslado inicial.

  • La anomalía: La reclamación contra la empresa fue admitida a trámite el 6 de noviembre de 2024.
  • La duda: ¿Cómo puede la Agencia aplicar en mayo de 2025 un artículo exclusivo para la fase de pre-admisión en un expediente que ya llevaba seis meses admitido y en fase de instrucción bajo el Título VIII?

Este uso "creativo" de la ley parece un intento de aplicar un archivo exprés utilizando una puerta trasera jurídica que ya estaba cerrada por los propios plazos del procedimiento

6. Obstrucción en la Revisión: El Silencio del Consejo de Estado

Resulta igualmente alarmante la parálisis en la revisión de estos actos. Tras haberse presentado una solicitud de nulidad de pleno derecho el 20 de septiembre de 2025, se ha constatado que, a fecha de 12 de febrero de 2026, el Consejo de Estado aún no había recibido el expediente administrativo.

Esta remisión es de carácter obligatorio y preceptivo, tal como establece el artículo 106.1 de la  LPACAP  (Ley 39/2015). La ausencia del dictamen del supremo órgano consultivo del Gobierno, cinco meses y medio después de la solicitud, sugiere una preocupante dilación en la tramitación de un procedimiento diseñado precisamente para corregir las actuaciones administrativas que vulneran el ordenamiento jurídico.

Conclusión: El peso de la "Competencia Exclusiva"

La resolución, firmada por el presidente Lorenzo Cotino Hueso, recuerda que el procedimiento sancionador es "excepcional" y su apertura es "competencia exclusiva" de la Agencia.

Esta afirmación de autoridad, sumada al uso indebido del artículo 65.4 para archivar un caso ya admitido, genera una sospecha inevitable: ¿Se forzó el marco legal para dictar un archivo "de conveniencia" tras la filtración de datos que la propia AEPD provocó contra esa misma empresa?. La Agencia no solo debería aportar una fecha sobre su brecha; debe explicar por qué dobla sus propias reglas procesales cuando el investigado pasa a ser, casualmente, su propia víctima.

Es a la AEPD a quién le corresponde explicar que lo que parece ser un pato, no lo es.


Documentos relacionados con la noticia:

  1. Contestación Consejo de Estado
  2. Documento Envío 774007
  3. Escrito Documento Firmado A-414351
  4. Resolución R CTBG 2026-0198



No hay comentarios:

Publicar un comentario