El pen de los 60.000 euros

15/12/2025
José Carlos Rueda

Cómo RTVE se libró de una multa de 60.000 euros

  • El pen de los 60.000 euros

El pen de los (casi) 60.000 euros

El 12 de noviembre de 2018, seis pendrives desaparecieron de la Oficina del Plan de Pensiones de RTVE. Contenían datos de ~11.000 trabajadores: identificativos, laborales, y lo más grave, categorías especiales como afiliación sindical, datos de salud y antecedentes penales.

El problema: no estaban cifrados. RTVE notificó la brecha a la AEPD el 25 de enero de 2019 (más de dos meses después). Lo que sucedió a continuación te sorprenderá.

 

La multa que fue y -spoiler- no fue

La AEPD impuso 60.000 euros de sanción por infracción del artículo 32 del RGPD (resolución PS/00305/2019 del 19/11/2019) —falta de medidas de seguridad apropiadas.

RTVE recurrió alegando que había actuado con diligencia (había enviado los datos cifrados por email a la Comisión del Plan de Pensiones) y que la responsabilidad de custodia de los pendrives era del receptor.

El 20 de febrero de 2020, la AEPD anuló la multa (resolución RR/00835/2019). Razón: RTVE demostró diligencia y la responsabilidad de custodia recaía sobre quien recibió los dispositivos. Además, los pendrives fueron recuperados sin haber sido utilizados.

Pero ojo: aunque se anuló la multa, el caso sigue siendo paradigmático de cómo la AEPD evalúa las brechas. No todas las organizaciones podrán demostrar la misma diligencia.

 

Qué hacer ante una brecha de seguridad

El artículo 4(12) del RGPD la define como cualquier incidente que provoque —accidental o ilegalmente— destrucción, pérdida, alteración, divulgación no autorizada o acceso indebido a datos personales. El artículo 33 RGPD obliga a notificar a la autoridad sin dilación indebida y, cuando sea posible, en 72 horas desde que tienes constancia. Solo puedes evitarla si es improbable que haya riesgo para las personas. Esta notificación debe incluir naturaleza de la brecha, categorías de datos afectados, número aproximado de interesados, consecuencias probables y medidas adoptadas.

Si la brecha puede entrañar alto riesgo (datos de salud, afiliación sindical, antecedentes penales...), debes comunicarla a los afectados. Es independiente de la notificación a la AEPD.

 

Implementa, no lamentes

Para no verte en este tipo de situaciones, implementa por defecto cifrado de datos y medios portátiles, así como procedimientos de inventario y custodia de los dispositivos de tu empresa. Es muy sencillo establecer controles de acceso, y en poco tiempo puedes adaptar protocolos de respuesta en tu empresa. 

En materia de protección de datos, documentar todo es importantísimo, más que la notificación a la autoridad e control. Es el salvavidas de la empresa ante inspecciones y procedimientos de este tipo. No sólo hay que ser "bueno", sino también parecerlo. 

El responsable del tratamiento (quien determina fines y medios) tiene la responsabilidad principal. El encargado debe comunicar inmediatamente cualquier brecha al responsable. En RTVE, el debate fue precisamente sobre quién custodiaba los pendrives. Debe tenerse en cuenta que las sanciones ascienden a hasta 20 millones de euros o 4% de la facturación en infracciones graves, considerando la AEPD factores para la moderación la gravedad, negligencia, categoría de datos, número de afectaods y la colaboración de la empresa con la autoridad. 

  1. El cifrado no es opcional para dispositivos con datos sensibles
  2. Las 72 horas corren desde que tienes constancia, no desde que investigas
  3. Documenta siempre, incluso si crees que la brecha es menor
  4. La diligencia salva: RTVE evitó la multa demostrando cifrado al enviar, protocolos internos y denuncia policial
  5. La responsabilidad puede compartirse, pero alguien siempre responde

Un pendrive sin cifrar puede parecer un detalle menor, hasta que desaparece con los datos de 11.000 personas.

Implementa un plan de respuesta a incidentes con nosotros