“Ha sido un error humano”. Pocas frases se repiten tanto cuando una organización intenta explicar una brecha de seguridad.
El pasado marzo, CaixaBank pagó 400.000 euros para poner fin al procedimiento sancionador PS-00413-2025. Aunque la cuantía resulta llamativa, lo verdaderamente relevante de la resolución no es el importe de la multa, sino el mensaje que transmite: los errores humanos dejan de ser incidentes aislados cuando una organización los asume como inevitables y no implanta medidas para prevenirlos.
Todo comenzó con dos reclamaciones individuales que, en apariencia, respondían a equivocaciones puntuales del Servicio de Atención al Cliente. Sin embargo, la investigación de la AEPD terminó descubriendo un patrón recurrente de brechas de seguridad que la entidad llevaba años gestionando sin que el Delegado de Protección de Datos (DPD) tuviera conocimiento de ellos en tiempo y forma.
Dos reclamaciones que destaparon un problema estructural
El expediente nace de dos reclamaciones independientes. En ambos casos, el Servicio de Atención al Cliente de Caixabank envió documentación al destinatario equivocado durante la tramitación de una reclamación. La primera reclamación surgió cuando un cliente recibió por error la respuesta dirigida a otro usuario, mientras que sus propios datos identificativos, incluidos nombre, apellidos y DNI, fueron enviados a ese tercero.
En el segundo caso, otro cliente recibió hasta tres documentos que no le correspondían durante la tramitación de una única gestión. Entre ellos figuraban la respuesta destinada a otro cliente que incluía datos bancarios completos sin anonimizar y un formulario de adhesión a las medidas de protección de deudores hipotecarios cumplimentado a nombre de una tercera persona.
Hasta ese momento, ambos episodios podían interpretarse como simples errores administrativos. Sin embargo, la situación cambió cuando la AEPD comenzó a solicitar información adicional durante la instrucción del expediente.
A medida que avanzaba la investigación, CaixaBank tuvo que reconocer que:
- los procedimientos existían … pero solo sobre el papel. En la práctica, los controles previstos no se estaban aplicando de forma efectiva;
- no había identificado correctamente a todas las personas afectadas por cada brecha;
- tampoco había detectado todos los datos personales comprometidos, incluyendo un IBAN mostrado íntegramente en un cheque nominativo;
- existían incidentes idénticos de envío de documentación a destinatarios equivocados de forma reiterada durante 2022, 2023 y 2024, con una frecuencia creciente respecto al volumen total de reclamaciones;
- y, además, la detección de estas brechas dependía en gran medida de que quien recibía la documentación por error decidiera comunicarlo voluntariamente, lo que provocaba retrasos de semanas e incluso meses hasta que el DPD tenía conocimiento de los hechos.
Lo que inicialmente parecían dos errores aislados terminó revelando una debilidad estructural en el sistema de gestión de reclamaciones.
Del deber de confidencialidad a la protección de datos desde el diseño.
El acuerdo de inicio del procedimiento atribuía a la entidad dos infracciones: la vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) y el incumplimiento del artículo 25, relativo a la protección de datos desde el diseño y por defecto.
No obstante, durante la fase de resolución la Agencia modificó su planteamiento jurídico. Finalmente descartó apreciar una infracción autónoma del artículo 5.1.f) y centró toda la responsabilidad en el artículo 25 del RGPD.
Para la AEPD, el problema no era únicamente que se hubieran producido revelaciones indebidas de información, sino que el propio diseño de los procedimientos hacía posible que esos errores se reprodujeran de manera reiterada. En otras palabras, el defecto no estaba en el incidente concreto, sino en el sistema que permitía su repetición.
La Agencia añade, además, que ese diseño deficiente no solo comprometía la confidencialidad de los datos sino que también afectaba al principio de minimización del artículo 5.1.c) RGPD, al tratar más información de la estrictamente necesaria, y al principio de exactitud del artículo 5.1.d) RGPD, ya que el sistema llegaba a asociar incorrectamente reclamaciones y representantes.
La resolución refleja así una idea cada vez más presente en la práctica sancionadora: cuando falla el diseño del tratamiento, normalmente no se vulnera un único principio del RGPD, sino varios de forma simultánea.
Los errores humanos no eximen de responsabilidad
Durante el procedimiento, CaixaBank defendió que los incidentes respondían a errores humanos puntuales y sostuvo que el Servicio de Atención al Cliente operaba bajo procedimientos altamente preventivos y sometidos a la supervisión del Banco de España.
La Agencia rechazó este argumento de forma contundente.
En primer lugar, recordó que el cumplimiento de la normativa sectorial bancaria no sustituye ni acredita el cumplimiento del RGPD, ya que ambos marcos regulatorios persiguen objetivos distintos y son supervisados por autoridades diferentes.
Pero, además, la propia entidad reconocía en sus alegaciones que su actividad estaba especialmente expuesta a errores humanos. Precisamente esa afirmación terminó reforzando la posición de la AEPD: si una organización es conocedora que determinados errores son previsibles y recurrentes, el artículo 25 del RGPD le obliga a diseñar procedimientos que reduzcan ese riesgo. No basta con aceptar esos fallos como un coste inherente a la actividad.
Una negligencia considerada grave
La sanción se fijó inicialmente en 500.000, euros importe que quedó reducido a 400.000 euros tras el pago voluntario.
Aunque la Agencia descartó la existencia de dolo sí apreció una negligencia grave basada fundamentalmente en dos circunstancias objetivas:
Por un lado, el sistema de detección de brechas descansaba en que los terceros receptores comunicaran espontáneamente los errores. Por otro, podían transcurrir varios meses antes de que el Delegado de Protección de Datos tuviera conocimiento efectivo del incidente.
Como circunstancia agravante se valoró que la actividad principal de la entidad implica un tratamiento masivo y continuo de datos personales, conforme al artículo 76.2.b) de la LOPDGDD.
En sentido contrario, la Agencia tuvo en cuenta como elementos atenuantes la formación impartida al personal del Servicio de Atención al Cliente durante 2024 y las medidas correctoras implantadas tras los hechos investigados.
Un daño no exige un uso fraudulento de los datos
Otro aspecto relevante de la resolución es la referencia a la sentencia del Tribunal de Justicia de la Unión Europea de 4 de septiembre de 2025 (asunto C-655/23).
Con apoyo en esta doctrina, la AEPD rechaza el argumento de que la ausencia de un perjuicio económico o de un uso indebido acreditado de los datos personales impida apreciar la existencia de daño, considerando 85 del RGPD.
La Agencia recuerda que la mera pérdida de control sobre la información personal puede constituir, por sí sola, un daño inmaterial indemnizable conforme al artículo 82 del RGPD, reforzando así una línea jurisprudencial que cada vez adquiere mayor relevancia tanto en el ámbito indemnizatorio como en el sancionador.
Lo que la AEPD destapó sobre la gestión interna de incidentes
Más allá del origen de las brechas, la resolución contiene otros hallazgos que merece la pena destacar. Uno de ellos es el tratamiento que la AEPD da al DNI apoyándose en el Real Decreto 255/2025, la Agencia lo considera un dato de especial sensibilidad dentro del ecosistema de datos personales, no por estar incluido en las categorías especiales del artículo 9 RGPD, sino por su capacidad de identificar de forma directa e inequívoca a una persona y por el riesgo de suplantación de identidad que conlleva su uso indebido.
Otro hallazgo llamativo es que, en paralelo a las brechas, un ejercicio del derecho de acceso presentado por uno de los reclamantes pasó completamente inadvertido para CaixaBank, a pesar de haberse formulado en el impreso oficial de la AEPD y de ir acompañado de su identificación correspondiente. Solo se atendió meses después, al trasladar la AEPD la reclamación, lo que la Agencia cataloga como otra manifestación de la misma carencia de diseño.
También se detectó que entre las auditorías internas CaixaBank aportó como prueba de diligencia y su contenido real unos documentos elaborados desde una perspectiva estrictamente bancaria con referencias constantes al Banco de España sin llegar a mencionar ni una sola vez «protección de datos», «interesado» o «brecha de datos personales».
Y, hablando en cifras, la propia AEPD subraya que el volumen de brechas creció en 2023 y 2024 en mayor proporción que el volumen de reclamaciones tramitadas por el Servicio de Atención al Cliente en esos mismos años.
Lecciones para cualquier organización
Aunque el expediente afecta a una entidad bancaria, las conclusiones son extrapolables a cualquier organización que gestione reclamaciones, documentación o grandes volúmenes de información personal.
En primer lugar, un error humano deja de ser un incidente aislado cuando se reproduce con una frecuencia objetivamente identificable. A partir de ese momento, el problema pasa a ser de diseño organizativo.
En segundo lugar, confiar en que un tercero comunique voluntariamente una brecha no constituye un sistema de detección. El artículo 25 del RGPD exige mecanismos proactivos capaces de identificar este tipo de incidentes sin depender del azar o de la buena fe de quienes los descubren.
También resulta imprescindible identificar desde el primer momento tanto a todas las personas afectadas como la totalidad de los datos comprometidos. Solo así puede evaluarse correctamente el riesgo, decidir si procede la notificación prevista en el artículo 34 del RGPD y adoptar medidas eficaces para reducir el impacto de la brecha.
Por último, la resolución recuerda que las auditorías internas orientadas exclusivamente al cumplimiento de la normativa sectorial o de los procesos de negocio no acreditan, por sí mismas, el cumplimiento del RGPD. La protección de datos requiere controles específicos y la participación efectiva del Delegado de Protección de Datos.
En conclusión, la resolución PS-00413-2025 confirma una tendencia cada vez más consolidada en la actuación de la AEPD. Las brechas de seguridad rara vez se analizan como hechos aislados y cada incidente constituye una oportunidad para examinar el sistema que lo hizo posible. Cuando los errores humanos se repiten y la organización no adapta sus procesos para evitarlos, la responsabilidad deja de residir en quien cometió la equivocación y pasa a situarse en el diseño mismo del tratamiento. Y es precisamente ahí donde el artículo 25 del RGPD despliega toda su fuerza como uno de los pilares de la responsabilidad proactiva.
Si te interesa profundizar en las brechas de seguridad puedes consultar otros artículos relacionados aquí y aquí







