La Agencia Española de Protección de Datos (AEPD) ha sido objeto de atención mediática tras conocerse que una brecha de seguridad derivada del envío erróneo de datos personales no fue comunicada hasta aproximadamente cinco meses después de su detección, pese a que el artículo 33 del RGPD establece la obligación de notificar este tipo de incidentes a la autoridad de control competente en un plazo máximo de 72 horas desde que se tenga constancia de los mismos.
Según la información publicada, el incidente consistió en el envío indebido de datos personales a destinatarios incorrectos, lo que constituye una violación de la seguridad de los datos personales en los términos del RGPD. La cuestión adquiere especial relevancia por tratarse de la propia autoridad encargada de supervisar el cumplimiento de la normativa, lo que introduce un evidente componente institucional y reputacional en el análisis del caso.
Desde una perspectiva jurídica, el episodio pone de relieve la rigidez del régimen de notificación de brechas, que no distingue en función de la naturaleza del responsable del tratamiento. El RGPD exige no solo la notificación en plazo, sino también que esta vaya acompañada de una descripción detallada del incidente, de sus posibles consecuencias y de las medidas adoptadas o previstas para mitigar sus efectos. El retraso en la notificación puede, en principio, constituir una infracción autónoma, especialmente cuando impide a la autoridad evaluar oportunamente el riesgo para los derechos y libertades de los afectados.
Más allá del caso concreto, la noticia tiene un claro valor pedagógico para organizaciones públicas y privadas, al evidenciar que la gestión de brechas de seguridad sigue siendo uno de los puntos más críticos del compliance en protección de datos. En particular, refuerza la necesidad de contar con protocolos internos de detección, escalado y notificación de incidentes, así como con mecanismos que permitan acreditar el momento exacto en que se tuvo conocimiento de la brecha, elemento clave para el cómputo del plazo de 72 horas.
En definitiva, el caso recuerda que el cumplimiento del RGPD en materia de brechas no es una cuestión meramente formal, sino un elemento esencial de la responsabilidad proactiva, y que incluso las propias autoridades de control están sujetas a los mismos estándares de diligencia que exigen al resto de responsables del tratamiento.
Protección de Datos retrasó cinco meses una brecha que debía notificar en 72 horas
