| Resolución | PS-00410-2024 |
| Firmado | 2025-11-19T00:00:00Z |
| Enlace | 📋 |
El Instituto Nacional de Ciberseguridad de España (INCIBE) fue sancionado con una multa de 2.000 euros por una infracción del artículo 25 del Reglamento General de Protección de Datos (RGPD). La sanción se debió a una brecha de seguridad en un curso online, donde los datos personales de los alumnos (nombre, apellidos, correo electrónico, ciudad y país) fueron expuestos a otros participantes del curso sin su consentimiento previo. La brecha se originó por una configuración defectuosa de la plataforma de formación, que permitía la visibilidad de estos datos por defecto.
INCIBE fue denunciado por un alumno que notificó que los nombres y apellidos reales de los demás participantes, así como su correo electrónico, ciudad y país, eran visibles. La plataforma utilizada era Moodle, y la configuración por defecto permitía esta visibilidad. INCIBE tuvo conocimiento de la brecha el mismo día del inicio del curso y la corrigió al día siguiente.
La decisión de sancionar a INCIBE se basó en que no se implementaron medidas técnicas y organizativas adecuadas para garantizar que solo se trataran los datos personales necesarios para el curso. Además, la configuración de la plataforma no cumplía con el principio de protección de datos desde el diseño y por defecto, lo que permitió la exposición de datos sensibles sin la intervención de los interesados.
INCIBE argumentó que actuó con diligencia y que las medidas adoptadas eran adecuadas, pero la autoridad de protección de datos consideró que la configuración por defecto de la plataforma no era suficiente para proteger los datos personales de los alumnos. La sanción se impuso para garantizar el cumplimiento de las normativas de protección de datos y evitar futuras brechas de seguridad.