Brecha de seguridad y resoluciones de la AEPD

Informes22 de abril de 2026
La Agencia Española de Protección de Datos (AEPD) sanciona con 5.000€ a un centro educativo que sufrió una brecha de seguridad ocasionada por la sustracción de un ordenador portátil de una empleada.

1. Cuestiones principales sobre el incidente

La sanción, impuesta al Colegio Nuestra Señora de la Caridad del Cobre como responsable del tratamiento, tiene su origen en una brecha de seguridad de datos personales que se produjo el 21 de marzo de 2023, cuando fue sustraído, en las instalaciones del propio centro educativo, el ordenador portátil de la Directora Pedagoga, quien se ausentó de su despacho, dejando la puerta cerrada, pero sin llave.


El incidente de seguridad afectó a un total de 450 personas (de las cuales, 150 eran menores), cuyos datos identificativos e información relativa a expedientes académicos de los alumnos, incluyendo datos de salud, se vieron comprometidos. Así, este incidente fue notificado a la AEPD en fecha 24 de marzo de ese mismo año, clasificado por el centro como de riesgo bajo e indicando que no se había considerado necesario comunicar el incidente a los interesados.


El centro justifica su conclusión en que había implementado, con carácter previo al incidente, medidas de seguridad preventivas destinadas, tanto a evitar accesos no autorizados a los dispositivos (como el bloqueo automático de los mismos tras 10 minutos de inactividad), como medidas de control de acceso físico y lógico a la información.


De forma posterior al incidente, el centro adoptó una serie de medidas mitigadoras, modificando las contraseñas de la cuenta de correo y de acceso de la empleada, así como medidas enfocadas a robustecer el sistema de control de acceso con la intención de mejorar de forma continua sus procedimientos, entre las que se encuentran el envío de una circular a los empleados, lanzamiento de formación específica en la materia y la revisión de las medidas de seguridad en dispositivos informáticos.


No obstante, la AEPD consideró que la brecha entrañaba un alto riesgo para los derechos y libertades de las personas, especialmente por la naturaleza de los datos afectados (entre ellos, datos de salud) y la presencia de menores, por lo que el 4 de abril de 2023 ordenó expresamente al centro la comunicación de la brecha a los interesados conforme al artículo 34 del RGPD. Dicha comunicación no se realizó hasta el 3 de mayo de 2023. 


Tras llevar a cabo las labores de investigación correspondientes, en fecha de 22 de marzo de 2024, la AEPD acuerda iniciar un procedimiento sancionador contra el centro educativo.


2. Infracciones del RGPD

Partiendo de los hechos descritos, la AEPD sancionó al centro educativo por las siguientes infracciones del Reglamento General de Protección de Datos (RGPD):

  1. Artículo 32 – Falta de diligencia debida: la autoridad considera que las medidas implementadas de forma preventiva y reactiva al incidente son insuficientes. En este sentido, señala que las medidas de seguridad deben ser adecuadas y efectivas, no meramente formales. En particular, consideró insuficiente la ausencia de cifrado de los datos contenidos en el portátil, lo que supone un riesgo relevante para la confidencialidad de la información en caso de acceso no autorizado, y la falta de medidas de control de acceso físico al centro que impidieran la sustracción del equipo.
  2. Artículo 34 - Comunicación de una violación de la seguridad de los datos personales al interesado: el colegio incumplió su obligación de comunicar la brecha a los afectados sin dilación indebida, al retrasar dicha comunicación hasta 1 mes más tarde desde que fue expresamente requerida por la autoridad de control. En este sentido, señala la AEPD que el centro educativo había actuado de forma contraria a la norma, que obliga a hacer la comunicación “sin dilación indebida”, considerando que el incidente entrañaba un riesgo alto para los derechos de los interesados puesto que hay datos de titulares menores de edad y datos de salud que podrían haberse visto afectados.

 

3. Conclusiones

Una vez más, la AEPD pone de manifiesto la importancia de cumplir con la normativa de protección de datos cuando se ven implicados datos personales de menores de edad y la necesidad de establecer e implementar de forma diligente las medidas técnicas y organizativas para mitigar los riesgos que el tratamiento puede suponer para los interesados.

Insiste en que esta obligación no se cumple con la adopción de cualquier conjunto de medidas, sino que deben implementarse aquellas que puedan calificarse de idóneas y suficientes para la consecución del resultado – esto es, garantizar la seguridad del tratamiento, así como es preciso vigilar, además de su establecimiento e implantación, la corrección de su uso y su correcta aplicación, de acuerdo con los criterios establecidos jurisprudencialmente en diversas sentencias (por todas, Sentencia de la Audiencia Nacional 90/2014 o Sentencia del Tribunal Supremo 7359/2020).


Por otro lado, si bien la sanción impuesta por la falta de comunicación a los interesados fue archivada por prescripción de la misma, se hace hincapié en la obligación de poner en conocimiento de los interesados los incidentes de seguridad de la información que entrañen un alto riesgo para sus derechos y libertades sin dilación indebida, ya que es crucial actuar con rapidez y transparencia para mitigar los riesgos.


 Nota informativa del área de Protección de Datos de ECIJA Madrid.

La imagen muestra una escalera moderna vista a través de una abertura en una pared blanca.

Socios relacionados

ACTUALIDAD #ECIJA