| Resolución | REPOSICION-PS-00410-2024 |
| Firmado | 2026-03-21T00:00:00Z |
| Enlace | 📋 |
**Resumen de la decisión**
En esta resolución se desestima el recurso de reposición presentado por el **Instituto Nacional de Ciberseguridad (INCIBE)** contra una sanción de **2.000 euros** impuesta por una infracción al **artículo 25 del RGPD** (protección de datos desde el diseño y por defecto).
**Denuncia o reclamo**: INCIBE fue sancionado por una **brecha de datos personales** ocurrida en abril de 2023 durante un curso online en su plataforma. La filtración expuso datos de **399 usuarios únicos** (nombre, apellidos, email, ciudad y país) debido a una **configuración incorrecta por defecto** en la plataforma Moodle, que no fue modificada antes del inicio del curso. INCIBE argumentó que la responsabilidad era del proveedor (encargado de tratamiento, DICAMPUS), pero la autoridad consideró que, como **responsable del tratamiento**, debía garantizar la seguridad desde el diseño.
**Sanción y su justificación**: La sanción se debe a que INCIBE **no implementó medidas técnicas adecuadas** para evitar la exposición de datos, a pesar de existir opciones de configuración más restrictivas. Aunque INCIBE adoptó medidas reactivas rápidas (deshabilitar la visibilidad en menos de 6 horas), la infracción radicó en **no evaluar correctamente los riesgos** antes de la puesta en marcha. El incumplimiento no fue por falta de diligencia general, sino por **no ajustar la configuración predeterminada**, que permitía el acceso no autorizado a datos personales. La cuantía fue moderada (2.000 €) por el **impacto limitado del incidente** y las acciones correctivas posteriores.
En definitiva, se confirma la sanción porque INCIBE **no cumplió con su obligación de proteger datos desde el diseño**, garantizando su privacidad por defecto. La resolución subraya que el responsable del tratamiento **debe supervisar que los encargados cumplan con las exigencias del RGPD**, incluso en entornos SaaS.