La autoridad irlandesa de protección de datos, la Data Protection Commission (DPC), ha publicado su decisión final en la investigación relativa a la University of Limerick, en la que declara la existencia de varias infracciones del Reglamento General de Protección de Datos (RGPD) relacionadas con la gestión de brechas de seguridad y la gobernanza del tratamiento de datos personales.
La decisión, formalmente adoptada el 10 de diciembre de 2025 y publicada el 2 de marzo de 2026, tiene su origen en una serie de incidentes de seguridad ocurridos entre 2018 y 2020, en los que diversas cuentas de correo electrónico del personal de la universidad fueron comprometidas mediante ataques de phishing, dando lugar a accesos no autorizados a datos personales.
Tras la investigación, la DPC concluye que la universidad vulneró, entre otros, los artículos 5.1.f) (integridad y confidencialidad), 30 (registro de actividades de tratamiento), 32 (seguridad del tratamiento), 33 (notificación de brechas) y 34 (comunicación a los interesados) del RGPD. En particular, la autoridad aprecia deficiencias en las medidas técnicas y organizativas implantadas, retrasos en la notificación de determinadas brechas y carencias en la comunicación a los afectados.
Como consecuencia, la DPC impone una sanción económica total de 98.000 euros, distribuida entre distintas infracciones, además de una amonestación formal. No obstante, la autoridad destaca como elemento relevante que la universidad adoptó medidas correctoras durante el procedimiento y cooperó con la investigación, lo que influyó en la ausencia de órdenes adicionales de cumplimiento.
Desde una perspectiva de compliance, la resolución resulta especialmente relevante porque ofrece una visión completa del estándar exigido por las autoridades en materia de gestión de incidentes de seguridad, incluyendo la importancia de documentar adecuadamente los tratamientos, reaccionar con rapidez ante brechas y garantizar una comunicación eficaz tanto a la autoridad como a los interesados cuando exista riesgo para sus derechos.
En definitiva, esta decisión refuerza la idea de que la gestión de brechas de seguridad sigue siendo uno de los principales focos de riesgo en protección de datos y que las organizaciones deben contar con protocolos internos sólidos, trazabilidad de las actuaciones y mecanismos de respuesta rápida para cumplir con las exigencias del RGPD.
