AEPD | 21 de marzo de 2026 — Desestimación del recurso de reposición de INCIBE por brecha de datos personales en plataforma de formación online
Identificación de la resolución
Agencia Española de Protección de Datos. Resolución de recurso de reposición. Expediente EXP202306833 (REPOSICION-PS-00410-2024). Fecha de firma: 21 de marzo de 2026. Presidente: Lorenzo Cotino Hueso.
Objeto del litigio
El Instituto Nacional de Ciberseguridad de España (INCIBE) recurre en reposición la resolución sancionadora de 19 de noviembre de 2025, por la que se le impuso una multa de 2.000 euros por infracción del artículo 25 del RGPD (protección de datos desde el diseño y por defecto). La brecha se produjo en un curso online impartido a través de una plataforma Moodle, cuya configuración por defecto permitía la visibilidad de datos personales de los alumnos entre sí.
Doctrina establecida
La AEPD desestima íntegramente el recurso de reposición de INCIBE y confirma la sanción de 2.000 euros.
Los hechos se remontan al 11 de abril de 2023, cuando se inició un curso online en la plataforma de formación de INCIBE con aproximadamente 9.000 alumnos inscritos. Esa misma noche, dos alumnos alertaron de que los nombres, apellidos, correo electrónico, ciudad y país de los participantes eran visibles para el resto de usuarios del curso. La brecha afectó a 399 usuarios cuyos perfiles fueron visualizados por 318 alumnos distintos.
La causa raíz fue la configuración por defecto de la plataforma Moodle, que establecía los campos de perfil como visibles para todos los usuarios. INCIBE, como responsable del tratamiento, no modificó esta configuración antes de la puesta en producción del curso, pese a que existían opciones para restringir la visibilidad.
INCIBE alegó en su recurso que la responsabilidad correspondía a DICAMPUS (ahora NTT DATA), encargado del tratamiento y proveedor de la plataforma en modalidad SaaS, argumentando que sus empleados no podían acceder a la configuración del software. La AEPD rechaza esta alegación, razonando que el artículo 25 del RGPD impone la obligación de protección desde el diseño al responsable del tratamiento, no al encargado. INCIBE decidió sobre fines y medios del tratamiento, y el hecho de externalizar la prestación material no traslada la responsabilidad.
La Agencia subraya que INCIBE no acreditó haber dado instrucciones concretas sobre la parametrización de la visibilidad de perfiles en Moodle, sino que se mantuvo la configuración por defecto sin indicación contraria. Confiar en que la parametrización por defecto de una plataforma del mercado cumpla con las exigencias del tratamiento no resulta acorde con la obligación del artículo 25 del RGPD, que exige una valoración activa de estos aspectos.
La AEPD también rechaza la calificación del incidente como mero incidente de seguridad, invocando la STJUE de 4 de septiembre de 2025 (asunto C-655/23), según la cual la mera pérdida de control sobre los propios datos personales puede bastar para causar perjuicios inmateriales, aun sin uso indebido posterior acreditado.
Fundamentos jurídicos relevantes
La resolución se fundamenta en el artículo 25 del RGPD (protección de datos desde el diseño y por defecto), tipificada como infracción en el artículo 83.4.a) del RGPD. Se aplican igualmente los artículos 24, 28 y 32 del RGPD. Se cita la STJUE de 4 de septiembre de 2025, asunto C-655/23, sobre daños inmateriales por pérdida de control de datos.
La resolución resulta especialmente relevante para el ámbito de las plataformas de formación online, donde la configuración por defecto de soluciones estandarizadas como Moodle puede no ajustarse a las exigencias del RGPD. La AEPD reafirma que el responsable del tratamiento no puede escudarse en la externalización técnica ni en la configuración por defecto del software para eludir sus obligaciones de privacidad desde el diseño. Que la sanción se dirija contra una entidad pública especializada en ciberseguridad refuerza el mensaje de que ningún responsable queda exento de esta obligación.
Referencias
- Texto completo: AEPD — REPOSICION-PS-00410-2024
- Normativa aplicada: art. 25, 28, 32 y 83.4.a) del RGPD; LOPDGDD; STJUE de 4/9/2025, asunto C-655/23