| Resolución | PS-00040-2025 |
| Firmado | 2025-12-20T00:00:00Z |
| Enlace | 📋 |
El 21 de marzo de 2023, la Dirección General de la Policía (DGP) detectó una brecha de seguridad en su plataforma ***PLATAFORMA.1, que podría haber comprometido datos personales de 10 personas, incluyendo nombres, apellidos, fechas de nacimiento, DNI, NIE, pasaportes y números de teléfono. La brecha se originó debido a la explotación de vulnerabilidades en el servidor, que habían estado presentes desde agosto de 2022. Los atacantes instalaron webshells, permitiendo el acceso no autorizado al sistema.
La DGP no comunicó la brecha a los afectados, argumentando que no se había podido determinar si hubo usuarios afectados. Además, las medidas de seguridad implementadas previamente fueron consideradas insuficientes para prevenir el incidente. La DGP reconoció que no se habían actualizado los sistemas de manera adecuada y que no se contaba con un inventario actualizado y documentado de activos.
La decisión sancionadora se basa en la infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), que exige la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. La DGP fue declarada responsable de la infracción, y se le ordenó adoptar medidas correctivas para evitar futuros incidentes similares. La sanción se justifica por la falta de diligencia en la protección de los datos y la insuficiencia de las medidas de seguridad previas al incidente.