La gestión de un expediente por parte de la Agencia Española de Protección de Datos (AEPD) ha dado lugar a una controversia administrativa que incluye un posible fallo en la protección de datos personales, dudas sobre la tramitación de una reclamación, la gestión de una brecha de seguridad y una solicitud formal de revisión por nulidad de pleno derecho.
El origen de la situación se remonta al 2 de abril de 2025, cuando la subdirectora general de Inspección de Datos de la AEPD, Olga Pérez Sanjuán, envió un requerimiento a la empresa DIGIMAN ALICANTE S.L. solicitando aclaraciones sobre una aparente incoherencia en documentos presentados ante el organismo.
La Agencia preguntaba cinco años después, cómo era posible que varios documentos entregados en febrero de 2020 incluyeran fechas de firma del 1 de mayo de 2018 y, al mismo tiempo, mencionaran la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, una norma que no fue publicada con posterioridad en el Boletín Oficial del Estado hasta el 6 de diciembre de 2018.
Esta contradicción temporal sugería que los documentos habrían sido incorporados al expediente administrativo dándoles carácter de firmeza, sin que se hubiera detectado previamente la incompatibilidad normativa, lo que plantea dudas sobre los controles aplicados durante su tramitación.
Envío erróneo con datos personales
El requerimiento de aclaración fue remitido por error a una persona que había sido reclamante en un procedimiento anterior relacionado con la misma empresa. La comunicación incluía diez circulares internas de la compañía que contenían datos personales completos de trabajadores: nombre y apellidos, número de DNI y firmas manuscritas.
Este envío accidental constituye, materialmente, una brecha de seguridad en el tratamiento de datos personales reconocida por el propio organismo. Aunque el destinatario involuntario ya conocía los nombres y números de documento de identidad de los trabajadores, nueve de las diez firmas manuscritas incluidas en la documentación le eran completamente desconocidas, ampliando el alcance de la exposición de datos.
Ese mismo 2 de abril de 2025, el receptor de la documentación comunicó el error a la Agencia a través de su sede electrónica y advirtió de la posible vulneración de la normativa de protección de datos. Según la información disponible, no recibió respuesta por parte del organismo.
Documentos accesibles en la web durante meses
La situación se agravó al comprobarse que los mismos documentos estaban alojados en la web institucional de la AEPD. Mediante su sistema de Código Seguro de Verificación (CSV) y autenticación, era posible acceder a los archivos y descargarlos íntegramente.
Tras verificar que la documentación seguía accesible en agosto de 2025, fue el propio receptor quien solicitó formalmente su retirada.
Reclamación ante el Consejo de Transparencia
Ante estos hechos, el afectado solicitó información a la Agencia a través del Portal de Transparencia para conocer la fecha en que el Delegado de Protección de Datos del organismo había comunicado internamente la brecha de seguridad.
La AEPD denegó el acceso a esa información. La controversia ha tenido que ser resuelta por el Consejo de Transparencia y Buen Gobierno (CTBG), que ha estimado la reclamación presentada por el solicitante, instando a la Agencia a facilitar los datos solicitados en el plazo de 10 días hábiles.
Llama poderosamente la atención que la AEPD invocara el artículo 14.1 e) y g) de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno para denegar la información, y al mismo tiempo comunicara por escrito al solicitante que no se había iniciado ningún tipo de investigación.
Archivo posterior del expediente contra la empresa
La relevancia del caso aumentó al comprobarse que, aproximadamente un mes después de producirse estos hechos, la AEPD decidió archivar un procedimiento que llevaba cerca de seis meses en tramitación contra la misma empresa.
Para justificar el archivo, la Agencia invocó el artículo 65.4 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, un precepto que permite inadmitir a trámite reclamaciones en fase previa cuando el responsable del tratamiento acredita haber adoptado medidas correctoras tras el traslado inicial de la reclamación.
Sin embargo, en este caso el expediente ya había sido admitido a trámite seis meses antes. Además, el archivo se basó en alegaciones presentadas por la empresa ocho meses atrás que en su momento no habían sido consideradas suficientes para inadmitir la reclamación y cuya veracidad ha sido posteriormente cuestionada.
En la práctica, la resolución habría supuesto el cierre de una reclamación en fase de instrucción utilizando un precepto previsto exclusivamente para la fase inicial de inadmisión.
Solicitud de nulidad del procedimiento
Ante esta situación, se solicitó la revisión por nulidad de pleno derecho de la resolución de archivo. Según el artículo 106.1 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas, este tipo de revisiones requiere un dictamen previo del Consejo de Estado.
No obstante, de acuerdo con la información disponible y tras más de cinco meses (el plazo para resolver expira en seis meses), el expediente administrativo aún no habría sido remitido a dicho órgano consultivo, lo que mantiene abierto el debate sobre la tramitación efectiva de la revisión solicitada y sobre la gestión administrativa del caso.