La Agencia Española de Protección de Datos ha dictado una resolución de recurso de reposición que pone fin a la controversia administrativa sobre la brecha de seguridad detectada en el Instituto Nacional de Ciberseguridad de España. El organismo ha decidido desestimar las alegaciones de la entidad estatal y ratificar la multa impuesta originalmente tras constatar una infracción del artículo 25 del Reglamento General de Protección de Datos relativo a la protección desde el diseño y por defecto. El caso se centra en un incidente ocurrido durante la puesta en marcha de una plataforma de formación que dejó expuesta la información personal de cientos de participantes ante el resto de sus compañeros.
Un fallo de configuración en un curso de 9.000 personas
La investigación confirmó que el incidente tuvo lugar en abril de 2023 cuando el INCIBE inició un curso masivo a través de la herramienta Moodle. Debido a que se mantuvo la configuración por defecto del software la plataforma permitía que los alumnos inscritos pudieran ver los nombres apellidos correos electrónicos ciudades y países de los demás usuarios. Aunque la institución contaba con unos 9.000 alumnos inscritos la brecha afectó de forma directa a 399 personas cuyos perfiles fueron efectivamente visualizados por otros compañeros sin ninguna restricción de privacidad.
El debate sobre la responsabilidad de los proveedores externos
Uno de los puntos clave del recurso de reposición fue el intento del INCIBE de trasladar la culpa a la empresa proveedora del software argumentando que ellos no tenían permisos de administración para cambiar los parámetros técnicos. Sin embargo la AEPD ha rechazado este argumento de forma tajante recordando que el responsable del tratamiento es quien decide los fines y medios del mismo y por tanto no puede delegar su obligación legal de vigilancia. La resolución aclara que confiar ciegamente en que una plataforma de mercado cumplirá las leyes de privacidad sin una evaluación de riesgos previa es una falta de diligencia que debe ser sancionada.
Impacto limitado pero infracción confirmada
A pesar de que el INCIBE alegó que la incidencia se resolvió en un plazo inferior a seis horas y que no hubo un uso malintencionado de los datos la autoridad de protección de datos ha mantenido la sanción de 2.000 euros. La Presidencia de la Agencia subraya que el perjuicio inmaterial se produce desde el momento en que el usuario pierde el control sobre su información personal. Con esta resolución fechada en noviembre de 2025 se agota la vía administrativa quedando como única opción para el instituto acudir a la Audiencia Nacional para tratar de revocar una decisión que refuerza la exigencia de privacidad en los servicios públicos digitales.
Fuente: elconfidencialdigital.com