689 836 691 info@quicklopd.es

Brecha de seguridad en los Cheques Consum: implicaciones jurídicas y obligaciones de notificación ante la AEPD

por | 13 Ene, 2026 | Gestión de datos, Protección de datos

El pasado 8 de enero de 2026, se hizo pública una denuncia por una presunta brecha de seguridad en la campaña municipal denominada Xec Consum, dirigida a incentivar el comercio local. Parece que más de 10.000 ciudadanos vieron expuestos sus datos personales durante el periodo de solicitud del bono consumo mediante una vulnerabilidad técnica en la web municipal.

¿Qué información estuvo expuesta?

La filtración, según el análisis difundido y un ingeniero informático que acompañó a la rueda de prensa, habría permitido el acceso no autorizado a:

  • Nombres y apellidos
  • DNI
  • Correos electrónicos
  • Números de teléfono de cada persona que solicitó el cheque.

Se afirma que la arquitectura de la página podía arrastrar y mostrar los datos de todos los solicitantes con un simple clic, vulnerando la confidencialidad de la información personal.

Responsabilidad del tratamiento y autoridad competente

Aunque la campaña fue ejecutada técnicamente por un desarrollo externo, la actuación se realizó a través del portal del Ayuntamiento, lo que implica que el responsable del tratamiento sigue siendo la propia administración local según lo previsto en el Reglamento General de Protección de Datos (RGPD). La responsabilidad última de proteger los datos recae en quien determina los fines y medios del tratamiento, independientemente de la externalización del soporte tecnológico.

Este criterio es coherente con la interpretación del RGPD en cuanto a responsabilidad del responsable del tratamiento (art. 4.7 y 24 del RGPD), que exige establecer y mantener las medidas técnicas y organizativas adecuadas para asegurar la integridad y confidencialidad de los datos personales.

Obligación de notificación de brechas de seguridad

De acuerdo con el artículo 33 del RGPD, ante una brecha de seguridad que afecte a datos personales, el responsable del tratamiento debe:

Notificar sin dilación indebida a la autoridad de control en España, la Agencia Española de Protección de Datos (AEPD) si es probable que la brecha entrañe un riesgo para los derechos y libertades de las personas físicas.

Además, si la brecha puede suponer un alto riesgo, debe comunicarse a los interesados afectados sin retrasos injustificados.

Por su naturaleza (exposición de DNI y otros datos sensibles), existió dicho riesgo, dado que la combinación de esos datos puede facilitar suplantaciones de identidad, fraudes dirigidos (phishing) o accesos fraudulentos a cuentas personales.

La denuncia ante la AEPD

Frente a esta situación, se ha anunciado que se presentará una reclamación formal ante la AEPD para que se investigue la posible infracción de las obligaciones del RGPD y, en su caso, se impongan las sanciones correspondientes.

Este paso es clave: la AEPD es la autoridad administrativa independiente encargada de supervisar y asegurar el cumplimiento de la normativa de protección de datos en España. Tiene facultades para:

  • Instruir expedientes sancionadores.
  • Exigir medidas correctoras.
  • Valorar el cumplimiento de obligaciones de seguridad y notificación.
  • Imponer multas económicas si procede.

Las sanciones por vulnerar las obligaciones de seguridad recogidas en el RGPD pueden alcanzar importes elevados, especialmente si se considera el número de afectados y la sensibilidad de los datos implicados. Casos recientes en España, aunque de distinta naturaleza, han derivado en multas millonarias por brechas de seguridad y falta de medidas de protección adecuadas.

Responsabilidad política y gestión pública

Además de las obligaciones legales, el episodio ha generado un debate sobre la responsabilidad política en la gestión de datos personales por parte de instituciones públicas, resaltando que externalizar un servicio no exime de responsabilidad al ente público que decide el tratamiento.

La presunta brecha de seguridad en la campaña Xec Consum pone de manifiesto la importancia de:

  • Diseñar e implantar sistemas informáticos con protección de datos integrada desde el diseño y por defecto (privacy by design and by default).
  • Aplicar medidas técnicas y organizativas que minimicen la probabilidad de acceso no autorizado a datos personales.
  • Cumplir con las obligaciones de notificación a la AEPD y a los interesados cuando exista una brecha susceptible de riesgo.

Este caso, aún en fase de denuncia e investigación, será un test relevante para la AEPD para consolidar criterios sobre la gestión de campañas municipales digitales y la responsabilidad de los entes públicos en el cumplimiento del RGPD.

Quick LOPD | RGPD
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.