INCIBE Fined 2,000 Euros for GDPR Breach

1/11

 Expediente nº.: EXP202306833

RESOLUCIÓN DE RECURSO DE REPOSICIÓN Examinado el recurso de reposición interpuesto por INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA, S.A. (en lo sucesivo, la parte recurrente) contra la resolución dictada por la Presidencia de la Agencia Española de Protección de Datos de fecha 19 de noviembre de 2025, y en base a los siguientes HECHOS PRIMERO: Con fecha 19 de noviembre de 2025, se dictó resolución por la Presidencia de la Agencia Española de Protección de Datos en el expediente EXP202306833, en virtud de la cual se imponía al INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA, S.A. con NIF A24530735 (en adelante, INCIBE), por una infracción del artículo 25 del RGPD, tipificada en el artículo 83.4.a) del RGPD, una multa de DOS MIL EUROS (2.000,00 euros). Dicha resolución, que fue notificada a la parte recurrente en fecha 19 de noviembre de 2025, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y supletoriamente en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP), en materia de tramitación de procedimientos sancionadores. SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00410/2024, quedó constancia de los siguientes: “PRIMERO: Con fecha 11/04/2023 a las 9:00 horas se inició un curso online en la plataforma de formación de INCIBE (…). SEGUNDO: El curso fue organizado por INCIBE, responsable del tratamiento, que formalizó un contrato de suministro para el alquiler del software de la plataforma con el proveedor DICAMPUS, con quien suscribió un contrato de encargo, y que tenía encomendado el mantenimiento y la programación de la plataforma. TERCERO: En fecha 11/04/2023, a las 23:30 horas, INCIBE tuvo conocimiento de una brecha de datos personales en el curso anteriormente mencionado a través de dos correos electrónicos remitidos por dos alumnos. En dichos correos se alertaba de que en la plataforma de formación del curso eran visibles, para todos los usuarios del curso, los nombres y apellidos de los demás, así como su correo electrónico, su ciudad y país.

2/11

CUARTO: El 12/04/2023 INCIBE contactó con DICAMPUS que procedió a deshabilitar la visibilidad entre usuarios a las 14:33 horas de ese mismo día. QUINTO: La brecha se produjo por un error en la configuración de privacidad de la plataforma de formación utilizada por INCIBE (Moodle), configuración que existía por defecto en el software y que no se cambió en el diseño previo de la plataforma antes del inicio del curso por el responsable del tratamiento. SEXTO: Los datos filtrados de cada alumno al que se accedió a su perfil fueron: Nombre y Apellidos, Email, País y Ciudad. Estos campos tenían una opción de configuración (administración del portal) que permitía modificar su visibilidad y hacer que fueran visibles de distinta forma: “visible solo para el propio usuario (y administradores)”, “visible para otros usuarios (y administradores)” o bien “no visible (solo administradores)”, no obstante, estaban configurados por defecto para que fueran visibles para el resto de los usuarios. En relación con el dato Email, tenía un campo de configuración adicional que permitía modificar su visibilidad y hacer que este dato fuese oculto para el resto de los usuarios, este parámetro podía ser alterado en el perfil de configuración del propio usuario, no obstante, por defecto este parámetro estaba configurado para ser visible, por lo que debía cambiarse de forma expresa por el usuario para ocultarlo. Por su parte, los datos correspondientes a País y Ciudad únicamente se mostraban rellenados en aquellos supuestos en los que se hubieran indicado en el proceso de matrícula. SÉPTIMO: El curso afectado por la incidencia tuvo un número aproximado de 9.000 alumnos inscritos y la brecha de datos personales afectó a 399 usuarios únicos cuyos datos de perfil fueron filtrados y visualizados por otros alumnos. De los 9.000 alumnos inscritos, 318 accedieron al menos a un perfil que no era el suyo. OCTAVO: Hasta el 12 de junio de 2023 los datos tratados por la plataforma Moodle obtenidos del proceso de inscripción eran: nombre, apellidos, DNI, correo electrónico, código postal, fecha nacimiento, nacionalidad, teléfono, nivel estudios, situación laboral. No obstante, los únicos datos necesarios eran nombre, apellidos, DNI, correo electrónico, mientras que el resto se recababa con fines estadísticos. NOVENO: INCIBE tenía desplegadas, con anterioridad a la brecha, diferentes medidas de seguridad relativas al curso y a la plataforma utilizada.

3/11

DÉCIMO: Como consecuencia de la brecha de datos personales, se llevaron a cabo las siguientes acciones y medidas reactivas por parte de INCIBE:

• (…) TERCERO: La parte recurrente ha presentado en fecha 19 de diciembre de 2025, en esta Agencia Española de Protección de Datos, recurso de reposición, cuya fundamentación se resume en el fundamento de derecho segundo de esta resolución. FUNDAMENTOS DE DERECHO I Competencia Es competente para resolver el presente recurso la Presidencia de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP) y el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). II Contestación a las alegaciones presentadas A continuación, se recogen los argumentos planteados por INCIBE en el recurso de reposición, que en parte reiteran alegaciones ya presentadas a lo largo del procedimiento sancionador, dándose respuesta a todo ellos: En primer lugar, afirma INCIBE lo siguiente: “Respecto a la acusación de que INCIBE es el responsable de la configuración de la plataforma online, manifestamos nuestro desacuerdo, puesto que es propiedad exclusiva de la empresa adjudicataria, no pudiendo acceder en ningún caso a la configuración de dicho activo desde el diseño por parte de los empleados de INCIBE. Al respecto cabe señalar que, a efectos del procedimiento sancionador, lo relevante para determinar la imputación de la infracción es que INCIBE es responsable del tratamiento. El hecho de que exista un encargado de tratamiento, como en este caso DICAMPUS, no altera la responsabilidad dispuesta para el responsable del tratamiento conforme determina el RGPD, puesto que es este último quien decide sobre fines y medios. En este caso el INCIBE ha decidido sobre fines y medios del tratamiento, decidiendo sobre que la prestación de parte del tratamiento se haga materialmente por un encargado del tratamiento, fijando las condiciones de tal prestación en el expediente de contratación administrativa; dicho encargo no determina el traslado de la responsabilidad al encargado del tratamiento, puesto que es como si lo estuviera realizando el INCIBE mismo. Además, dicho encargo sólo podría afectar a la imputación de la infracción a DICAMPUS si este último hubiese actuado

4/11

contraviniendo de forma directa instrucciones precisas de INCIBE. Sin embargo, en el presente caso no se ha acreditado que dicha circunstancia se haya producido. En todo caso, la infracción del artículo 25 no versa sobre que los empleados del INCIBE no pudieran acceder “a la configuración de dicho activo” al ser propiedad de la empresa adjudicataria, sino a un momento anterior, aquel en el que el INCIBE al planificar las operaciones de tratamiento cuyo tratamiento materialmente encargó debía haberlo planificado con un diseño y configuración adecuada, en los términos dispuestos en el FD V de la resolución ahora impugnada. A continuación, INCIBE señala lo siguiente: “En la página 34 del apartado “HECHOS PROBADOS” indica que “La brecha de seguridad estuvo causada por un error en la configuración de privacidad de la plataforma de formación utilizada por INCIBE (Moodle)”. En primer lugar, entendemos que se trata de un incidente de seguridad y no de una brecha, porque tras la realización del análisis de riesgos documentado, se ha evidenciado que no se producía un alto impacto en los derechos y libertades de los interesados. En dicho análisis de riesgos, se valoró:

• Volumen de datos expuestos: inferior al 5%
• Categoría de datos: identificativos de bajo impacto
• Consecuencias: phishing, spam, derivados del uso del correo A fecha del presente documento, se ha constatado que no se ha producido ninguna vulneración de los derechos y libertades de las personas, lo que demuestra que el resultado de la valoración en el análisis de riesgos documentado fue correcto.” Al respecto cabe aclarar que, en lo que afecta a protección de datos, en la medida en que los datos de alumnos del curso han sido expuestos sin que esté justificado que otras personas los conocieran, han quedado fuera del control de los afectados y otras personas han accedido a esos datos, cabe considerar que se produce una brecha de datos personales, independientemente de que se haya constatado una “vulneración posterior de sus derechos y libertados”. Sobre este particular se ha de significar que, amén del concepto amplio de daños y perjuicios que determina la STJUE de 4 de septiembre de 2025, en el asunto C-655/23, lo cierto es que la STJUE de 4 de septiembre de 2025, en el asunto C-655/23, determina que la mera pérdida de control sobre los propios datos personales por los interesados como consecuencia de una infracción del RGPD, aun cuando no se haya producido concretamente un uso indebido de los datos en cuestión puede bastar para causar "daños y perjuicios inmateriales”. A continuación, enumera INCIBE una serie de medidas adoptadas en relación con la protección de datos desde el diseño: necesidades especificadas en la memoria del pliego de contratación, características técnicas incluidas en el pliego y exigidas a la empresa y auditorías realizadas. Afirma que, a la vista de ello,

5/11

“se evidencia que INCIBE ha cumplido con el art. 25 del RGPD, estableciendo medidas de protección de datos (desde el diseño) y que el responsable del “incidente” es DICAMPUS SL, por incumplimiento de contrato y por ende causando un perjuicio a INCIBE”. Como ya se indicó en la resolución del procedimiento sancionador, no se pone en cuestión que INCIBE no hubiera tomado medidas previas y como reacción al incidente, ni se aprecia una falta generalizada de medidas. Sin embargo, se ha constatado una decisión concreta en la configuración de la plataforma que de la que el incidente es consecuencia directa, por lo que cabe considerar que hay un incumplimiento del artículo 25 del RGPD. En cuando a la afirmación de INCIBE de que la responsabilidad del incidente es de DICAMPUS por incumplimiento del contrato, cabe responder que el artículo 25 del RGPD prevé la toma de medidas para garantizar la privacidad desde el diseño y por defecto como una obligación del responsable del tratamiento (en el presente caso, INCIBE) y no del encargado (en este caso DICAMPUS). En este sentido, correspondía a INCIBE adoptar las medidas correspondientes y, en principio, no cabría entender que la infracción fuera imputable al encargado de tratamiento. Cabría plantear la responsabilidad del encargado en el caso de que el responsable haya dado instrucciones concretas que hayan sido desatendidas por el encargado que habría incumplido las instrucciones del responsable. Sin embargo, en el presente caso, INCIBE no acredita que hubiera dado instrucciones concretas sobre la parametrización de la herramienta en el aspecto concreto que ha provocado el incidente, sino que se adoptaron una serie de medidas y, en lo que se refiere a esa parametrización, se mantuvo la configuración por defecto del software utilizado sin que INCIBE diera una indicación contraria a DICAMPUS sobre este punto. Por ello, cabe desestimar dicha alegación. En segundo lugar, se refiere INCIBE a las obligaciones del encargado del tratamiento. Afirma que “La Resolución reconoce que INCIBE contrató el software SaaS de la plataforma con el proveedor DICAMPUS (actual NTT DATA), como encargado del tratamiento, en el marco del expediente 040/22 (y, en su caso, 032/19), con pliegos que incorporan obligaciones específicas de custodia de los datos, adopción de medidas de seguridad (art. 32 RGPD), colaboración en la gestión de brechas, apoyo en EIPD, mantenimiento de evidencias de cumplimiento y garantía de la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, así como la evaluación regular de la eficacia de dichas medidas.” INCIBE afirma que en su condición de responsable ha seguido las directrices del Comité Europeo de Protección de Datos en relación con el artículo 25 del RGPD y ha actuado con diligencia en la adopción de medidas previas y tras la notificación del “incidente” por parte de los alumnos. Menciona a este respecto el análisis de riesgos realizado y que cuenta con procedimientos y protocolos internos para la gestión de incidencias que se activaron tras la detección del incidente. En particular en relación con el curso en que se produjo el incidente menciona

6/11

“tres auditorías de seguridad, que identificaron dos vulnerabilidades medias y seis bajas, que fueron corregidas o justificadas por el proveedor. En la última auditoría realizada antes de la puesta en funcionamiento de la plataforma, el informe estableció que “no se habían encontrado vulnerabilidades en el retest de la auditoría técnica de seguridad”. Enumera asimismo diferentes medidas, desde el diseño: configuraciones restrictivas implementadas antes del inicio del curso y tras las auditorías previas (en relación con la visibilidad de la pestaña de participantes, restricción del acceso a la lista de participantes, desactivación del correo interno para alumnos, definición clara de roles diferenciados) y configuración de privacidad de los propios interesados. Afirma, sin embargo, que “De los propios hechos probados se desprende, sin embargo, que el encargado no cumplió adecuadamente estas obligaciones. La plataforma fue configurada por el proveedor con parámetros por defecto de Moodle que permitían la visibilidad entre alumnos de determinados datos identificativos y de contacto (nombre, apellidos, email, ciudad y país), sin que el encargado advirtiera de este riesgo ni propusiera configuraciones alternativas más restrictivas, pese a su condición de experto técnico y a la existencia de un encargo de tratamiento formalizado. La auditoría externa exigida contractualmente y realizada por el proveedor antes de la puesta en producción, así como las actuaciones técnicas subsiguientes, no detectaron ni corrigieron la configuración de privacidad que dio lugar a la incidencia, lo que revela un incumplimiento de la obligación de aplicar “medidas técnicas y organizativas apropiadas”, por parte del encargado, para garantizar un nivel de seguridad adecuado al riesgo (art. 28.1 en relación con el art. 32 RGPD).” Afirma asimismo que “En este caso, el modelo SaaS y el grado de control técnico de la configuración de Moodle correspondían principalmente al proveedor, que no solo mantuvo una configuración por defecto inadecuadamente abierta, sino que tampoco la detectó ni corrigió en la auditoría exigida por contrato. La imputación exclusiva a INCIBE de la supuesta falta de “protección de datos desde el diseño y por defecto” ignora esa distribución de responsabilidades y traslada al responsable, en la práctica, una obligación de resultado que excede lo previsto en los artículos 24 y 25 RGPD, desdibujando el régimen de corresponsabilidad responsable–encargado diseñado por el artículo 28 RGPD” En relación con la configuración por defecto afirma INCIBE lo siguiente: “Se rechaza la afirmación de la Resolución que indica que: “Es decir, que la confianza en que la parametrización por defecto de una plataforma del mercado cumplirá con las exigencias del tratamiento en cuestión no solo no es

7/11

acorde con la obligación que impone el artículo 25 sino en parte contraria, ya que lo que ese artículo demanda del responsable es precisamente que valore ese tipo de aspectos del tratamiento, con lo que se evidencia la falta de diligencia de INCIBE en el cumplimiento de las obligaciones impuestas por el principio de protección de datos de datos desde el diseño y por defecto.” Es falso que las auditorías de seguridad de la información y privacidad que exige INCIBE exceptúen la configuración de visibilidad de datos personales en los cursos, y rechazamos la afirmación del instructor sobre que los pliegos de contratación de acciones formativas no cumplan con esta obligación de protección de datos, que además cuestiona la profesionalidad de auditores independientes y con acreditada solvencia técnica y experiencia.” Respecto de esta alegación, en lo que afecta al presente procedimiento y sin perjuicio de las responsabilidades que pudieran existir en relación con el cumplimiento del contrato, no cabe aceptar el argumento de INCIBE de que era responsabilidad de su encargado advertir el riesgo y proponer configuraciones alternativas. Es el responsable del tratamiento quien tiene la obligación, conforme determina el artículo 24 del RGPD, de realizar los análisis de riesgos preceptivos, incluyendo la evaluación de impacto de protección de datos personales en su caso, en relación con los tratamientos de datos personales que pretenda llevar a término a los efectos de determinar los riesgos para los derechos y libertades de los interesados presentes en el tratamiento y adoptar medidas para evitar su materialización. La responsabilidad del cumplimiento del artículo 25 del RGPD, como se ha dicho, corresponde al responsable del tratamiento. En tercer lugar, se refiere INCIBE a que se ha probado el carácter limitado, acotado y sin impacto relevante del incidente, dado que solo se expusieron los datos de nombre, apellidos, correo electrónico, ciudad y país; no se expusieron datos de categoría especial, la visibilidad fue para usuarios registrados y matriculados, la incidencia se resolvió con celeridad y no existen indicios de uso indebido ni de afectación efectiva a los derechos de los interesados. Asimismo, menciona que el acceso requería una acción voluntaria y concreta por parte de otro alumno, lo que no equivale a una exposición automática ni masiva. Afirma también que esta práctica de visibilidad limitada entre estudiantes resulta habitual en entornos de formación, ya que permite la interacción académica y relacional entre participantes. Al respecto cabe señalar que efectivamente el impacto del incidente ha sido muy limitado y, en ese sentido, se ha considerado en la resolución que el nivel de gravedad no era elevado y la sanción impuesta es acorde con dicha circunstancia. No obstante, el hecho de que se haya producido una infracción implica, con carácter general, de acuerdo con el considerando 148 del RGPD, corresponde la imposición de una sanción. En cuarto lugar, afirma INCIBE, como ya alegó al acuerdo de inicio y a la propuesta de resolución, que ha demostrado responsabilidad proactiva, cumplimiento normativo y diligencia y que puede exigirse al responsable de tratamiento que nunca se produzca una incidencia, sino que adopte medidas razonables y proporcionales.

8/11

Añade además que INCIBE acredita el cumplimiento de estas medidas, pero “cabe plantearse si estas medidas han sido aplicadas con la misma diligencia por parte del encargado, puesto que INCIBE no puede asegurar que posteriormente a las auditorías realizadas y aceptadas sobre la plataforma hasta la entrada en funcionamiento estas hubieran sufrido algún tipo de modificación en los parámetros de configuración y en consecuencia se podría considerar la concurrencia de responsabilidad directa del encargado en el cumplimiento de las obligaciones establecidas en el contrato, contra el que INCIBE adoptará las medidas legales oportunas.” Respecto de esta afirmación cabe reiterar las consideraciones ya indicadas anteriormente en relación con la responsabilidad de INCIBE y no de su encargado, en el cumplimiento del artículo 25 del RGPD. En quinto lugar, señala INCIBE lo siguiente: “Sobre la apreciación de la AEPD, donde indica que, en el momento de producirse los hechos INCIBE contaba con otros cursos formativos en marcha, manifestamos que esta afirmación es totalmente falsa, y no se puede evidenciar que INCIBE tuviera en ese momento otros cursos formativos en marcha con la misma configuración que la planteada en este caso. Se trató del primero realizado por este proveedor en Moodle para INCIBE” En relación con esta afirmación, cabe aclarar que, en los fundamentos de derecho quinto y séptimo de la resolución, se hace referencia a los afectados y a la configuración de la plataforma. Por un lado, se mencionan los afectados por la incidencia, que serían en principio las personas cuyos datos se consultaron y otros matriculados en el curso a cuyos datos no hay constancia de que se accediera. Por otro, dado que el presente caso se trata de una infracción de procedimiento, se menciona que esa configuración era la que se figuraba también para los demás cursos de la plataforma, si bien dichos cursos no habían llegado a comenzar y, por tanto, la incidencia no afectó a los alumnos de otros cursos, como INCIBE ha comunicado en sus escritos y como consta recogido expresamente en la resolución (por ejemplo, en el antecedente sexto, punto 1.10). Si bien es relevante indicar el número de afectados cuyos datos fueron efectivamente expuestos (y así se refleja expresamente en los fundamentos de derecho quinto y séptimo), también se considera relevante señalar que la configuración inicial de la plataforma era para el conjunto de cursos abiertos, no únicamente para un curso, si bien consecuencia del incidente se modificó dicha configuración. En sexto lugar, insiste INCIBE en que “ha demostrado el cumplimiento del principio de “accountability” o responsabilidad proactiva y la diligencia exigible, por lo que no cabe reproche sancionador.” Afirma que no se limitó a exigir del proveedor la adopción inmediata de medidas correctoras, sino que, de forma voluntaria adoptó medidas reforzadas para garantizar la no repetición del incidente.

9/11

Señala que “una infracción del artículo 25 del RGPD exige un incumplimiento sustancial de las obligaciones de diligencia exigibles a un responsable del tratamiento y no puede basarse exclusivamente en un resultado no deseado si no se acredita negligencia relevante o falta de diligencia debida. INCIBE no ha cometido una omisión voluntaria ni previsible, sino que actuó conforme a lo habitual como contratista de un servicio que incluía la puesta a disposición de software de terceros, y estableció medidas contractuales con el encargado mediante el correspondiente encargo del tratamiento, en donde se especifica al contratista estar obligado a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento de datos de carácter personal a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Se desconoce cómo es posible que la doble auditoría independiente que se realizó sobre la configuración de ciberseguridad del curso, no detectase el riesgo de exposición de nombres y correo de los alumnos, cabiendo la posibilidad de que el administrador de la plataforma pusiera en producción el curso con una versión del mismo anterior a la auditada. Si esto hubiera sido así, INCIBE desconoce la situación al carecer de permisos de administración y si ese pudo haber sido el origen del fallo, pero en ningún caso es atribuible la responsabilidad ya que las auditorías certificaron que todo estaba supuestamente en orden.” Concluye INCIBE que “La causa fue una configuración técnica estándar que no se había detectado en las auditorías previas independientes al proveedor del curso y de su plataforma, imputable exclusivamente al administrador humano que puso en producción una versión erróneamente configurada, y esto no podía pertenecer a INCIBE. La reacción de INCIBE fue diligente y efectiva antes, durante y después del incidente. Así pues, exigir una garantía absoluta de privacidad implicaría desconocer que el RGPD se basa en una lógica de gestión del riesgo, no en la eliminación total del mismo. Las medidas adoptadas por INCIBE fueron coherentes con su capacidad técnica y contractual, y permitieron limitar los efectos del incidente con eficacia y rapidez. En consecuencia, el deber de aplicar medidas desde el diseño y por defecto no exige eliminar cualquier posibilidad de incidencia, sino acreditar que se ha evaluado el riesgo, se han aplicado las medidas razonables y se ha reaccionado con celeridad y eficacia ante cualquier desviación, como ha quedado acreditado en las anteriores notificaciones.

10/11

Sobre este punto cabe resaltar que se realizó el análisis de riesgos, previo a la puesta en marcha del funcionamiento de la plataforma, en el que se identificó la obligatoriedad de exigir la realización de diferentes auditorías por parte del contratista, con el fin de garantizar una mayor protección de los derechos y libertades de los interesados. Así mismo, es destacable la celeridad en la gestión y corrección una vez identificada la brecha, la cual fue subsanada en un plazo inferior a 6 horas. Si las auditorías previas a la puesta en producción no detectaron el error de configuración del Foro, esto podría deberse a que la versión auditada no fue la que finalmente puso en producción el administrador de DICAMPUS, lo que resulta imposible de detectar al carecer INCIBE de permisos de administración del software.” En relación con esa afirmación, cabe reiterar, como ya se indicó en la resolución, que no se ha apreciado una falta generalizada de medidas, pero sí se ha constatado un incumplimiento del artículo 25 del RGPD consecuencia directa de la configuración de la plataforma e imputable a INCIBE. Por ello, sin perjuicio de que tenga un carácter limitado, sí cabe concluir que se produjo una infracción. III Obligación de dictar resolución expresa De acuerdo con lo establecido en el artículo 24 de la LPACAP, el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio. No obstante, a pesar de que haya transcurrido el plazo legalmente establecido para resolver, la Administración mantiene la obligación de dictar resolución expresa y de notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, incluidos los recursos administrativos que se hayan podido interponer, según dispone el artículo 21.1 de la citada LPACAP. En los casos de desestimación por silencio administrativo, la resolución expresa posterior al vencimiento del plazo se adoptará por la Administración sin vinculación alguna al sentido del silencio, según dispone el artículo 24.3 de la misma ley. Por tanto, aunque no se resuelva el recurso en plazo, procede emitir la resolución expresa que lo finalice. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR el recurso de reposición interpuesto por el INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA, S.A. contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 19 de noviembre de 2025, en el expediente EXP202306833.

11/11

SEGUNDO: NOTIFICAR la presente resolución a INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA, S.A. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea notificada la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si la fecha de la notificación se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

180-071125Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos