Consejo de Transparencia exige aclaraciones a AEPD

La complejidad en el manejo de datos personales está tomando un giro inesperado en España, a raíz de un incidente revelador que involucra a la Agencia Española de Protección de Datos (AEPD). Cinco años tras la entrega de un conjunto de documentos, la AEPD se encuentra bajo la lupa tras surgir interrogantes sobre la validez temporal y la inclusión errónea de ciertos datos.

En febrero de 2020, la AEPD entregó documentos que contenían fechas de firma del 1 de mayo de 2018. No obstante, esas mismas documentaciones mencionaban la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, norma que solo sería publicada en el Boletín Oficial del Estado el 6 de diciembre de 2018. Esta paradoja temporal sugiere que los documentos pudieron ser incorporados al expediente administrativo sin la debida verificación, planteando serias dudas sobre los controles regulativos aplicados en su tramitación.

Del mismo modo, un incidente aún más preocupante salió a la luz cuando se descubrió que un requerimiento de aclaración había sido enviado—por error— a un individuo que había participado previamente en un procedimiento relacionado con la misma empresa. Este envío incluía diez circulares internas de la compañía, las cuales contenían información personal sensible de empleados, como nombres, apellidos, números de DNI y firmas manuscritas. A pesar de que el destinatario ya conocía algunos de estos datos, el hecho de que nueve de las diez firmas fueran desconocidas amplió la exposición de datos personales de forma significativa. En respuesta, el receptor notificó el error a la AEPD el 2 de abril de 2025, pero no recibió respuesta.

La situación se complicó aún más cuando se verificó que estos documentos quedaron accesibles en la página web oficial de la AEPD, donde permanecieron durante varios meses. Fue el propio afectado quien, al darse cuenta, solicitó su eliminación, alarmado por el posible alcance de la brecha de seguridad.

Ante la falta de respuestas, el afectado decidió acudir al Consejo de Transparencia para indagar sobre la comunicación interna de la AEPD respecto a esta brecha de seguridad. Sin embargo, la Agencia denegó el acceso a esta información, lo que llevó al Consejo a intervenir, obligando a la AEPD a proporcionar los datos solicitados en un plazo de diez días hábiles.

Un mes después de este incidente, la AEPD decidió archivar un procedimiento que llevaba seis meses en trámite contra la misma empresa. Este archivo se justificó bajo un precepto que solo debería aplicarse en fases iniciales, generando aún más controversia, dado que el caso ya había sido admitido a trámite.

Esto ha llevado a solicitar una revisión por nulidad de la resolución, lo que según la legislación vigente requiere un dictamen del Consejo de Estado. Sin embargo, transcurridos más de cinco meses desde la solicitud, el expediente aún no ha sido remitido a dicho órgano, manteniendo vivo el debate sobre la integridad y la gestión de la AEPD.

Este caso refleja la creciente preocupación sobre la efectividad en la protección de los datos personales y la transparencia en la gestión administrativa, revelando que, a pesar de las normativas existentes, los errores pueden tener consecuencias severas y duraderas. En un mundo cada vez más digitalizado, el cumplimiento y la protección de la privacidad son más cruciales que nunca.

Gracias por leer Columna Digital, puedes seguirnos en Facebook, Twitter, Instagram o visitar nuestra página oficial. No olvides comentar sobre este articulo directamente en la parte inferior de esta página, tu comentario es muy importante para nuestra área de redacción y nuestros lectores.