Análisis del artículo publicado por Diario La Ley, en colaboración con nuestro director del Departamento Legal de 4DLegal Alfonso González
La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución sancionadora —expediente 202406965, de fecha 3 de febrero de 2026— que debería hacer reflexionar a cualquier empresa que gestione datos personales de sus clientes: una operadora de telefonía ha sido multada con 10.000 euros por enviar las credenciales de acceso de un cliente (usuario y contraseña) en un correo electrónico sin cifrar, en texto plano.
Un caso aparentemente menor que, sin embargo, condensa algunas de las lecciones más importantes que el RGPD lleva años intentando trasladar al tejido empresarial.
¿Qué ocurrió exactamente?
En abril de 2024, un cliente de la operadora recibió un correo electrónico en el que se le informaba de una actualización en el área de clientes y de un cambio de contraseña realizado por decisión de la propia empresa. El problema: en ese correo aparecían, en texto plano y sin ningún tipo de cifrado, el nombre de usuario (su DNI) y la nueva contraseña asignada.
El cliente, con buen criterio, alertó a la compañía de forma directa y contundente:
«Por favor, no volváis a mandar jamás en un correo con texto plano unas credenciales de usuario con el conjunto de usuario y contraseña, menos si cabe cuando el usuario es el DNI, y con una contraseña que vosotros mismos habéis modificado libremente. En el portal de gestión aparecen datos como mi dirección, teléfono, DNI, cuenta bancaria… ¿es que no tenéis un departamento de seguridad o al menos un poco de sentido común?»
Al no recibir respuesta satisfactoria, interpuso una reclamación ante la AEPD, que admitió el caso a trámite en junio de 2024.
La respuesta de la empresa: un manual de cómo no gestionar una brecha de seguridad
La operadora, cuando finalmente respondió, calificó lo ocurrido como «un error humano puntual» y argumentó que no había habido accesos no autorizados ni filtración de datos. También invocó el artículo 32 del RGPD para alegar que dicho precepto impone una obligación de medios y no de resultado, y el artículo 82.3 para sostener que el incidente no era imputable a la empresa por tratarse de un error humano aislado, no de un fallo estructural.
Para Alfonso González, experto de 4DLegal, «efectivamente, impacto real quizá no, pero el riesgo sí se generó, aunque no llegara a consolidarse. Por otro lado, no es lo mismo que prestes servicios a empresas que a particulares; en personas físicas el riesgo es mucho mayor. Lo que está claro es que las alegaciones del operador de telefonía no las prepararon expertos en protección de datos. Lo correcto es transmitir que has corregido el error e implantado las medidas necesarias, no excusarse y ponerse a la defensiva de esa forma».
En definitiva, en 4DLegal consideramos que esta estrategia defensiva fue un error en sí misma. Las alegaciones no las prepararon expertos en protección de datos. Lo correcto, ante una situación como esta, es demostrar que se ha corregido el error y que se han implantado las medidas necesarias para que no vuelva a ocurrir, no ponerse a la defensiva ni intentar minimizar el incidente.
La posición de la AEPD: el riesgo importa, aunque no haya daño
La Agencia fue clara: no resulta determinante que no haya habido accesos no autorizados ni exfiltración de datos. La remisión de credenciales de acceso en texto plano constituye, por sí misma, una vulneración del artículo 32 del RGPD, que obliga a implantar medidas técnicas y organizativas adecuadas —entre ellas, la seudonimización y el cifrado de datos personales.
Además, la AEPD dejó claro que la obligación no se satisface con la mera existencia formal de políticas o protocolos genéricos, sino con la implantación de medidas efectivamente adecuadas al riesgo concreto de cada tratamiento.
En otras palabras: este caso no se sanciona por el resultado, sino por la ausencia de medidas preventivas suficientes.
Desde nuestra perspectiva jurídica, compartimos plenamente este enfoque. Puede que el impacto real haya sido mínimo, pero el riesgo existió. Y cuando los datos afectados incluyen DNI, cuenta bancaria o dirección de una persona física, el nivel de riesgo es especialmente elevado.
¿Qué lecciones prácticas podemos extraer?
1. Las medidas de seguridad no tienen por qué ser costosas
Uno de los malentendidos más extendidos es pensar que cumplir con el artículo 32 del RGPD exige grandes inversiones tecnológicas. No es así. Por ejemplo, anonimizar o seudonimizar los datos de los clientes mediante la asignación de un ID interno es una medida sencilla, económica y muy eficaz para reducir la trazabilidad y el riesgo en caso de incidente. Lo importante es querer hacerlo y dedicarle el tiempo que requiere.
2. La formación del personal es tan importante como la tecnología
Este tipo de incidentes son más comunes de lo que parece. En muchas ocasiones, las empresas sí disponen de políticas de seguridad, pero no las trasladan correctamente a sus equipos a través de formación adecuada. Un protocolo que nadie conoce o aplica es, en la práctica, como si no existiera.
3. La responsabilidad activa es la mejor defensa
La AEPD no busca recaudar, sino que las empresas cumplan. Si la operadora hubiera podido acreditar que contaba con medidas técnico-organizativas idóneas y que su plantilla había recibido formación específica, probablemente habría evitado la sanción —o al menos reducido significativamente su importe.
4. Actuar preventivamente siempre sale más barato
Ahora la empresa debe abonar 10.000 euros y realizar todos los cambios necesarios en sus sistemas. Si lo hubiera hecho de forma preventiva, el coste habría sido considerablemente menor, tanto en términos económicos como reputacionales.
Conclusión
Esta resolución de la AEPD es un recordatorio de que la seguridad en el tratamiento de datos personales no es una cuestión opcional ni meramente formal. Las empresas —independientemente de su tamaño o sector— están obligadas a implantar medidas reales y efectivas, proporcionales al riesgo que implica cada tipo de tratamiento.
En 4DLegal ayudamos a nuestros clientes a diseñar e implementar estas medidas de forma práctica y eficiente, adaptada a su realidad operativa. Porque cumplir con el RGPD no solo evita sanciones: también protege a las personas y refuerza la confianza en el negocio.