{"id":39877,"date":"2026-04-07T13:30:11","date_gmt":"2026-04-07T11:30:11","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&#038;p=39877"},"modified":"2026-04-07T13:30:11","modified_gmt":"2026-04-07T11:30:11","slug":"la-aepd-sanciona-a-una-entidad-publica-por-una-brecha-de-datos-personales-y-por-la-falta-de-independencia-del-dpd","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/es\/noticias_boletin\/la-aepd-sanciona-a-una-entidad-publica-por-una-brecha-de-datos-personales-y-por-la-falta-de-independencia-del-dpd\/","title":{"rendered":"La AEPD sanciona a una entidad p\u00fablica por una brecha de datos personales y por la falta de independencia del DPD"},"content":{"rendered":"<p>La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, \u201cAEPD\u201d) ha sancionado a una entidad p\u00fablica por infracciones de los art\u00edculos 5.1.f) y 38 del Reglamento General de Protecci\u00f3n de Datos (en adelante, \u201cRGPD\u201d), relativas, respectivamente, a la vulneraci\u00f3n del principio de integridad y confidencialidad y a la falta de garant\u00eda de independencia del Delegado de Protecci\u00f3n de Datos (en adelante, \u201cDPD\u201d).<\/p>\n<p>El procedimiento se inici\u00f3 a ra\u00edz de una reclamaci\u00f3n en la que se puso en conocimiento de la AEPD la existencia de una carpeta digital accesible a m\u00faltiples empleados que conten\u00eda datos personales. La entidad verific\u00f3 la incidencia, constatando accesos no autorizados, notificando la brecha a la AEPD y comunic\u00e1ndola a las personas afectadas.<\/p>\n<p>En el an\u00e1lisis del expediente, la AEPD constata que la brecha de seguridad permiti\u00f3 el acceso por parte del personal a una carpeta que deb\u00eda estar restringida al personal administrativo y directivo. Asimismo, se acredita que entre los datos afectados se encontraban tanto datos identificativos como datos de categor\u00edas especiales, lo que incrementa el riesgo para los derechos y libertades de las personas afectadas.<\/p>\n<p>La resoluci\u00f3n rechaza las alegaciones de la entidad sobre la suficiencia de las medidas de seguridad, se\u00f1alando que, aunque no existe una obligaci\u00f3n de resultado, s\u00ed deben implantarse medidas t\u00e9cnicas y organizativas apropiadas al riesgo. En este caso, la AEPD aprecia deficiencias en la prevenci\u00f3n y el control de accesos que favorecieron la brecha, determinando la infracci\u00f3n del art\u00edculo 5.1.f) del RGPD.<\/p>\n<p>Por otro lado, la AEPD analiza la compatibilidad de funciones del DPD, constatando que la entidad hab\u00eda designado a dicha figura como responsable del Sistema Interno de Informaci\u00f3n (en adelante, RSII) previsto en la Ley 2\/2023. La AEPD concluye que esta acumulaci\u00f3n de funciones puede comprometer la independencia exigida al DPD, en la medida en que puede dar lugar a un conflicto de intereses contrario a lo dispuesto en el art\u00edculo 38 del RGPD.<\/p>\n<p>La AEPD fundamenta la sanci\u00f3n en los siguientes extremos:<\/p>\n<ul>\n<li>Acceso no autorizado a datos personales contenidos en una carpeta que deb\u00eda estar restringida, vulnerando el principio de integridad y confidencialidad (art. 5.1.f) RGPD).<\/li>\n<li>Insuficiencia de las medidas t\u00e9cnicas y organizativas para prevenir y detectar accesos indebidos a la informaci\u00f3n.<\/li>\n<li>Tratamiento de datos que inclu\u00edan categor\u00edas especiales, incrementando el nivel de riesgo asociado a la brecha de seguridad.<\/li>\n<li>Designaci\u00f3n del DPD como RSII, generando una situaci\u00f3n de potencial conflicto de intereses contraria al art\u00edculo 38 del RGPD.<\/li>\n<\/ul>\n<p>Con esta resoluci\u00f3n, la AEPD refuerza la exigencia de implementar medidas de seguridad efectivas que eviten accesos indebidos a los datos personales, as\u00ed como la necesidad de garantizar la independencia del DPD dentro de la organizaci\u00f3n, evitando la acumulaci\u00f3n de funciones que puedan comprometer su labor de supervisi\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Datos de recaudaci\u00f3n<\/li>\n<li>Acuerdo internacional sobre fiscalidad digital<\/li>\n<li>Hacienda ultima el reglamento del IRPF para adaptar las subidas y las reducciones de planes de pensiones<\/li>\n<li>Administraci\u00f3n Digital Integral (ADI)<\/li>\n<li>Ventas en Gipuzkoa<\/li>\n<li>Medidas en torno al alquiler<\/li>\n<li>Reforma fiscal en torno al autom\u00f3vil<\/li>\n<li>Proyecto de Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales tratados para fines de prevenci\u00f3n, detecci\u00f3n, investigaci\u00f3n y enjuiciamiento de infracciones penales y de ejecuci\u00f3n de sanciones penales<\/li>\n<li>Propuesta de reforma para la Ley Concursal<\/li>\n<li>El Gobierno Central ultima medidas de solvencia y plantea que parte de su coste lo asuma la banca<\/li>\n<li>El Gobierno reformar\u00e1 el marco legal para poder aumentar las ayudas directas a aut\u00f3nomos y empresas<\/li>\n<li>Creaci\u00f3n de una aplicaci\u00f3n para el c\u00e1lculo de los plazos de duraci\u00f3n de un expediente de contrataci\u00f3n administrativa hasta su formalizaci\u00f3n<\/li>\n<li>El Gobierno Vasco impulsa el programa Azpitek para actualizar el equipamiento cient\u00edfico-t\u00e9cnico de las empresas vascas<\/li>\n<li>La ley \u201cRider\u201d dar\u00e1 tres meses a las empresas para dar de alta a sus trabajadores<\/li>\n<li>El incremento salarial medio pactado en convenio comienza el a\u00f1o con un 1,44%<\/li>\n<li>Se aprueba un proyecto de reglamento que permitir\u00eda, utilizar algoritmos a la Inspecci\u00f3n de Trabajo y la Seguridad Social para la detecci\u00f3n del fraude<\/li>\n<li>El desempleo sube en 76.216 personas en enero<\/li>\n<li>El Gobierno negocia la implantaci\u00f3n un proyecto piloto para la jornada laboral de 4 d\u00edas<\/li>\n<li>Enero finaliza con 739.000 trabajadores en ERTE, 35.000 m\u00e1s que en diciembre<\/li>\n<li>Los registradores quieren proteger las grabaciones de audio y video de las Juntas telem\u00e1ticas<\/li>\n<li>Crear una sociedad con solo un Euro de capital social<\/li>\n<\/ul>\n","protected":false},"featured_media":0,"template":"","tipo_articulo":[3190],"ambito_geografico":[],"boletin":[4463],"class_list":["post-39877","noticias_boletin","type-noticias_boletin","status-publish","hentry","tipo_articulo-noticias-de-interes","boletin-marzo-2026"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin\/39877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media?parent=39877"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/tipo_articulo?post=39877"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/ambito_geografico?post=39877"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/boletin?post=39877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}