La sujeción a la transparencia de la AEPD en las brechas de seguridad
El Consejo de Transparencia y Buen Gobierno ha emitido una resolución que trasciende el ámbito del caso particular para establecer un precedente de alcance institucional significativo. En las resoluciones 2067/2025 y 2108/2025, este órgano ha corregido la postura mantenida por la Agencia Española de Protección de Datos (en adelante, AEPD) en relación con una brecha de seguridad ocurrida en el seno de la propia autoridad de control, poniendo de relieve que la rendición de cuentas no admite excepciones basadas en la condición de supervisor. La doctrina que se desprende de esta resolución resulta particularmente relevante en un momento en que la protección de datos personales constituye uno de los pilares fundamentales del ordenamiento jurídico europeo y español.
Lo anterior me sugiere que el caso examinado encarna una paradoja que el derecho administrativo no siempre ha sabido resolver con claridad: la simultaneidad de roles que caracteriza a ciertos organismos públicos cuando, además de su función principal de control y supervisión, actúan como responsables del tratamiento de datos personales en el ejercicio ordinario de sus competencias. La AEPD, encargada de garantizar el cumplimiento del Reglamento General de Protección de Datos y otras normas de privacidad en España por parte de terceros, se encontró en la posición de tener que aplicarse a sí misma las exigencias que habitualmente impone a los administrados. La resistencia inicial a revelar determinada información sobre la gestión interna de una violación de seguridad ha sido interpretada por el Consejo de Transparencia como una inconsistencia que compromete la credibilidad del sistema en su conjunto.
II. Los hechos que originaron el conflicto
En octubre de 2024, un ciudadano recibió una comunicación de la AEPD que no le estaba destinada. El correo electrónico, dirigido erróneamente a su dirección, correspondía en realidad a una empresa con la que había mantenido relación comercial años atrás, pero cuyos vínculos habían concluido. La naturaleza del error resultó particularmente grave porque el mensaje incorporaba documentos anexos que contenían datos identificativos de terceros, incluyendo números de documento nacional de identidad, nombres, apellidos y firmas manuscritas. Lo que inicialmente podría haberse considerado un mero incidente administrativo de escasa trascendencia se reveló como una violación de la seguridad de la información que activó las obligaciones establecidas en el Reglamento General de Protección de Datos.
El ciudadano afectado, ejerciendo su derecho de acceso a la información pública, solicitó a la AEPD conocimiento detallado de cómo había gestionado internamente dicha violación de la protección de datos. La respuesta de la autoridad, aunque confirmatoria de la existencia de la brecha y de su documentación interna, resultó parcial en un aspecto que el solicitante consideraba esencial: la AEPD se negó a facilitar la fecha concreta en que había notificado la violación de seguridad, invocando la necesidad de preservar la eficacia de sus funciones de control y la integridad de eventuales investigaciones en curso.
Debe tenerse en consideración que esta información temporal adquiere relevancia jurídica cualificada en el marco del Reglamento General de Protección de Datos. El artículo 33 del citado reglamento establece con carácter imperativo que el responsable del tratamiento debe comunicar la violación de seguridad a la autoridad de control competente en un plazo máximo de 72 horas desde que tenga conocimiento del incidente. El incumplimiento de este requisito temporal puede acarrear consecuencias sancionadoras significativas, lo cual explica el interés del ciudadano en verificar el estricto cumplimiento de esta obligación por parte del propio supervisor del sistema.
III. La justificación esgrimida y su insuficiencia
La AEPD fundamentó su negativa en una triple consideración que el Consejo de Transparencia ha examinado con detenimiento. En primer lugar, invocó la posible perjudicación de investigaciones en curso. En segundo lugar, adujo el afectación a sus propias funciones de control. En tercer lugar, señaló el compromiso potencial de la seguridad del sistema. Esta triple barrera argumental, aparentemente sólida, ha sido desmantelada por el Consejo de Transparencia mediante un razonamiento que distingue cuidadosamente entre la información cuya revelación podría efectivamente comprometer objetivos legítimos y aquella que, por su naturaleza circunscrita, no presenta riesgo alguno para los fines perseguidos.
Hay que reseñar que la AEPD no logró acreditar de qué manera específica la revelación de la fecha de notificación de la brecha podría perjudicar las actuaciones de investigación o las eventuales sanciones que pudieran derivarse de la violación de seguridad. La invocación genérica de la afectación a las funciones de control resultó insuficiente ante un órgano que, como el Consejo de Transparencia, aplica el principio de interpretación estricta de los límites al derecho de acceso. La doctrina administrativa consolidada exige que la restricción de la transparencia no se sustente en meras apreciaciones abstractas, sino en la demostración concreta del perjuicio que la divulgación ocasionaría.
El Consejo de Transparencia ha subrayado con particular énfasis que la fecha de comunicación de la violación constituye un dato con valor jurídico autónomo. Su conocimiento permite verificar el cumplimiento del plazo de 72 horas establecido en el artículo 33 del Reglamento General de Protección de Datos, convirtiéndose así en un instrumento de control ciudadano sobre la propia autoridad de control. Esta función de contralor público, inherente al derecho de acceso a la información, resulta especialmente intensa cuando quien debe rendir cuentas es precisamente el supervisor del sistema de protección de datos.
IV. La particularidad del doble rol de la AEPD
El caso examinado presenta una singularidad que eleva su trascendencia doctrinal: la AEPD actuaba simultáneamente como responsable del tratamiento de datos personales y como autoridad de control competente para supervisar el cumplimiento del Reglamento General de Protección de Datos. Esta dualidad funcional, lejos de justificar una mayor opacidad, refuerza según el Consejo de Transparencia el interés público en conocer cómo la propia autoridad aplica las obligaciones que impone a terceros.
Entiendo que esta configuración institucional genera una tensión que el derecho administrativo debe resolver mediante la aplicación rigurosa del principio de igualdad. Si la AEPD exige a los responsables de tratamiento la notificación de violaciones de seguridad en el plazo de 72 horas y la documentación detallada de las mismas, resulta incongruente que ella misma se resista a revelar información equivalente sobre incidentes ocurridos en su seno. La coherencia del sistema de protección de datos exige que el supervisor se someta a estándares de diligencia equiparables, cuando no superiores, a los exigidos a los administrados.
La resolución del Consejo de Transparencia ha sabido captar esta dimensión simbólica del conflicto. Al ordenar la revelación de la fecha de notificación, no solo satisface una pretensión individual de acceso a la información, sino que reafirma la legitimidad del sistema de control mutuo que caracteriza al Estado democrático de derecho. La transparencia no se detiene ante el umbral de las autoridades de control; antes bien, adquiere en ellas una intensidad reforzada precisamente por su función de supervisión general.
V. La distinción operativa establecida por el Consejo
El razonamiento del Consejo de Transparencia se distingue por su precisión técnica al delimitar el objeto de la reclamación. El ciudadano había formulado inicialmente una solicitud amplia de información sobre la gestión interna de la brecha de seguridad, pero en el curso del procedimiento administrativo fue acotando su pretensión hasta circunscribirla exclusivamente a la fecha de comunicación de la violación. Esta limitación voluntaria de la pretensión resultó determinante para la estimación parcial de la reclamación.
Asumo que esta precisión metodológica refleja una comprensión madura del derecho de acceso a la información, que no necesita aspirar a la transparencia total para resultar efectivo. El ciudadano reconoció implícitamente que determinados aspectos de la gestión de la brecha, como su origen técnico o sus consecuencias específicas, podían estar amparados por excepciones legítimas al acceso público. Sin embargo, la fecha de notificación, por su carácter formal y su función de verificación del cumplimiento normativo, escapaba a estas consideraciones de reserva.
El Consejo de Transparencia ha validado esta estrategia de segmentación de la pretensión informativa, señalando que el objeto del procedimiento resuelto no era la solicitud inicial global, sino la pretensión "mucho más limitada" resultante de las acotaciones posteriores. Esta distinción permite al órgano garante de la transparencia mantener la coherencia de su doctrina respecto a la protección de información sensible, al tiempo que reconoce el carácter accesible de datos formales cuya revelación no compromete objetivos legítimos de reserva.
VI. La interpretación estricta de los límites a la transparencia
La resolución examinada incorpora una declaración de principios que resulta fundamental para la consolidación de la jurisprudencia administrativa en materia de acceso a la información. El Consejo de Transparencia recuerda expresamente que los límites a la transparencia deben interpretarse de forma estricta y que no basta con invocarlos: es necesario probarlos. Esta formulación, aparentemente obvia, adquiere relevancia cualificada cuando se aplica a una autoridad de control que, por su especialización técnica, podría pretender una deferencia judicial o administrativa en la apreciación de los riesgos de la divulgación.
Considero que esta exigencia de prueba concreta del perjuicio responde a una necesidad de equilibrio institucional. La AEPD posee competencias técnicas y evaluativas que le permiten apreciar la gravedad de las violaciones de seguridad y calificar el nivel de riesgo para los derechos y libertades de las personas afectadas. Sin embargo, esta especialización no le confiere una inmunidad de control respecto de la aplicación de las excepciones al acceso público. El Consejo de Transparencia, como árbitro del conflicto entre transparencia y reserva, mantiene la última palabra sobre la procedencia de la aplicación de los límites, exigiendo que esta no se sustente en meras conjeturas o apreciaciones genéricas.
La resolución pone de manifiesto que la AEPD no logró demostrar de qué manera específica la revelación de la fecha de notificación perjudicaría las investigaciones en curso o afectaría a sus funciones de control. La invocación de estos límites, realizada en términos abstractos, resultó insuficiente ante un órgano que aplica el principio de proactividad informativa y la máxima de que la restricción de la transparencia debe ser la excepción, no la regla. Esta postura reforzada del Consejo de Transparencia constituye un avance significativo en la consolidación de una cultura de rendición de cuentas que alcanza incluso a quienes ejercen funciones de supervisión.
VII. El valor jurídico de la información temporal
El Consejo de Transparencia ha otorgado a la fecha de notificación de la violación de seguridad un reconocimiento que trasciende su mera significación cronológica. Según la resolución, se trata de un dato con valor jurídico propio, en cuanto permite verificar el cumplimiento del plazo establecido en el artículo 33 del Reglamento General de Protección de Datos. Esta calificación transforma la información de un dato meramente descriptivo a un instrumento de control normativo que habilita la supervisión ciudadana del cumplimiento de obligaciones legales.
Ello me obliga a deducir que el Consejo de Transparencia está desarrollando una doctrina sobre la accesibilidad de los elementos de verificación del cumplimiento normativo que resulta especialmente relevante en el contexto de la protección de datos. El Reglamento General de Protección de Datos establece obligaciones temporales estrictas —las 72 horas para la notificación de violaciones— cuya efectividad depende de la posibilidad de controlar su observancia. Si la fecha de notificación pudiera reservarse indefinidamente bajo argumentaciones genéricas de protección de funciones de control, el mecanismo de responsabilidad previsto en el reglamento quedaría seriamente comprometido.
La resolución subraya que la AEPD, en su condición de responsable del tratamiento afectado por la brecha, debió comunicar la violación a sí misma en su condición de autoridad de control en el plazo legalmente establecido. Esta circunstancia, que podría parecer una mera formalidad administrativa, adquiere relevancia sustancial en la medida en que pone de relieve la necesidad de que el supervisor se someta a los mismos procedimientos de control que impone a terceros. La transparencia respecto de esta fecha de comunicación interna resulta así un correlato necesario de la coherencia del sistema.
VIII. La ejecución de la resolución y sus consecuencias
El Consejo de Transparencia ha ordenado a la AEPD que, en el plazo de 10 días, facilite al ciudadano la fecha en que notificó la brecha de seguridad. Esta condena en costas, aunque de apariencia modesta, comporta consecuencias reputacionales significativas para una autoridad cuya credibilidad depende esencialmente de la percepción pública de su imparcialidad y rigor. El incumplimiento de las obligaciones de transparencia por parte del supervisor del sistema de protección de datos genera un efecto de deslegitimación que trasciende el caso particular.
La resolución refuerza una idea que el Consejo de Transparencia viene consolidando en su jurisprudencia reciente: la transparencia no se detiene ante el supervisor. La autoridad encargada de vigilar el cumplimiento del Reglamento General de Protección de Datos debe rendir cuentas cuando actúa como responsable del tratamiento, sometiéndose a los mismos estándares de diligencia y transparencia que exige a los administrados. Esta simetría de obligaciones resulta esencial para mantener la confianza pública en un sistema de protección de datos que, por su complejidad técnica, corre el riesgo de percibirse como un ámbito reservado a la expertise institucional.
El caso examinado ha sido compartido en redes sociales por el jurista Juan González Rebollo, lo cual indica que la comunidad especializada ha reconocido su relevancia doctrinal. La difusión pública de esta resolución contribuye a la formación de una expectativa ciudadana de transparencia que alcanza incluso a las autoridades de control, cerrando el círculo de rendición de cuentas que caracteriza al Estado democrático de derecho. Los ojos de la ciudadanía, a través del derecho de acceso a la información, pueden finalmente supervisar a quienes ejercen la supervisión.
IX. Reflexiones sobre el control de los controladores
El episodio analizado invita a una reflexión de alcance constitucional sobre la arquitectura de los mecanismos de control en el Estado contemporáneo. La proliferación de autoridades administrativas independientes, dotadas de competencias técnicas especializadas y de independencia funcional respecto del poder político, ha generado un nivel de complejidad institucional que exige contrapesos igualmente sofisticados. El Consejo de Transparencia y Buen Gobierno ejerce en este contexto una función de garantía que complementa los mecanismos judiciales ordinarios, proporcionando una vía ágil y especializada para la resolución de conflictos de acceso a la información.
La resolución respecto de la AEPD ilustra la efectividad de este mecanismo cuando se aplica con rigor técnico y independencia de criterio. El Consejo de Transparencia no ha dudado en contradecir la apreciación de una autoridad de reconocido prestigio técnico, sustentando su posición en una interpretación sistemática de las normas de protección de datos y de transparencia. Esta actitud, lejos de constituir una desafección institucional, representa el funcionamiento normal de un sistema de pesos y contrapesos que preserva la legitimidad del conjunto.
La lección que emerge del caso es que ninguna autoridad, por especializada o independiente que sea, puede considerarse al margen de la obligación de transparencia. La rendición de cuentas constituye un principio general del derecho administrativo que solo admite limitaciones excepcionales, estrictamente interpretadas y debidamente justificadas. La AEPD, al igual que cualquier otro responsable del tratamiento de datos personales, debe someterse a esta exigencia cuando se vea afectada por una violación de seguridad. La coherencia del sistema de protección de datos europeo depende de esta aplicación sin excepciones del principio de responsabilidad.
X. Conclusiones
El Consejo de Transparencia y Buen Gobierno ha dictado una resolución que, aunque aparentemente modesta en su objeto —la revelación de una fecha concreta de notificación de violación de seguridad—, encierra una significación institucional considerable. La corrección de la AEPD por no aplicarse a sí misma los estándares de diligencia que exige a terceros constituye un recordatorio necesario de que la transparencia no conoce privilegios institucionales.
La doctrina establecida en las resoluciones 2067/2025 y 2108/2025 refuerza la simetría de obligaciones entre supervisor y supervisados, entre autoridad de control y responsables de tratamiento. El valor jurídico reconocido a la información temporal, como elemento de verificación del cumplimiento del plazo de 72 horas establecido en el artículo 33 del Reglamento General de Protección de Datos, habilita el control ciudadano de la propia autoridad de control. La interpretación estricta de los límites a la transparencia, con la exigencia de prueba concreta del perjuicio invocado, preserva la eficacia del derecho de acceso frente a apreciaciones genéricas de reserva.
El caso de la brecha de seguridad ocurrida en la AEPD y su posterior gestión ante el Consejo de Transparencia demuestra que el sistema de control mutuo funciona con la efectividad que cabe esperar en un Estado social y democrático de derecho. La rendición de cuentas alcanza incluso a quien supervisa la protección de datos, cerrando el círculo de legitimidad que hace sostenible el ejercicio del poder público. La transparencia, en definitiva, no se detiene ante el supervisor.