La Agencia Española de Protección de Datos (AEPD) ha vuelto a recordar que los errores humanos también pueden ser sancionables cuando revelan fallos organizativos.
En la resolución que os traemos que puede consultase en este enlace la Agencia analiza un posible envío indebido de datos personales a un tercero, concluyendo que existían deficiencias en las medidas de control y supervisión del tratamiento.
El expediente parte de una reclamación por la comunicación de datos personales a un destinatario incorrecto.
La AEPD analiza si la entidad responsable:
- Tenía medidas técnicas adecuadas.
- Contaba con protocolos de revisión.
- Aplicaba controles previos al envío.
- Había formado adecuadamente al personal.
Aunque pueda tratarse de un error puntual, la Agencia examina si existía una estructura preventiva suficiente.
En estos casos, la AEPD suele centrar el análisis en dos pilares:
- Principio de integridad y confidencialidad (art. 5.1.f RGPD): Los datos deben tratarse de forma que se garantice su seguridad y confidencialidad. Un envío erróneo puede suponer una vulneración si evidencia falta de control.
- Medidas de seguridad (art. 32 RGPD): El responsable debe aplicar medidas técnicas y organizativas apropiadas al riesgo.
La pregunta que se hace la Agencia no es solo si hubo error, sino también, si podría haberse evitado con medidas razonables.
El error humano no siempre exime de responsabilidad. La AEPD reitera un criterio constante y es que aunque el error humano es posible, el sistema debe estar diseñado para minimizarlo. Si el fallo revela carencias estructurales, existe infracción. No es necesario que exista intencionalidad. La negligencia organizativa es suficiente.
¿Qué espera la AEPD de las organizaciones?
En materia de envíos de información sensible (emails, adjuntos, listados, informes), espera ver:
- Procedimientos internos documentados.
- Sistemas de doble verificación en casos sensibles.
- Formación periódica al personal.
- Limitación de accesos según funciones.
- Protocolos claros de notificación de brechas.
Porque el cumplimiento de la normativa de protección de datos, se basa en la responsabilidad proactiva. Es decir, no sólo hay que cumplir, también se debe poder demostrar que el sistema está diseñado para cumplir.
Los incidentes aislados pueden ocurrir. Lo que sanciona la AEPD es la falta de arquitectura preventiva.
Esta resolución vuelve a recordarnos...
La seguridad no es solo tecnológica.
- La organización y los procesos importan.
- La formación del personal es una medida de seguridad.
- La prevención debe estar documentada.
Redactado por Elena, a fecha 26 de febrero de 2026.