Filtración masiva de datos sensibles de altos cargos: la Audiencia Nacional actúa ante una nueva amenaza digital

23 de septiembre de 2025 — La Audiencia Nacional ha abierto una investigación tras difundirse públicamente datos personales sensibles del presidente del Gobierno, Pedro Sánchez, de los ministros Margarita Robles y José Manuel Albares, así como de miembros de las fuerzas de seguridad y del CNI. Los datos fueron publicados en Telegram por un hacker que afirma haber utilizado una herramienta llamada SpainData. Entre la información divulgada figuran DNI, direcciones, números de teléfono y datos familiares.

Este nuevo episodio de vulneración masiva de datos personales ha provocado una respuesta inmediata de las autoridades, que lo consideran una amenaza grave al derecho fundamental a la protección de datos personales, así como un posible daño al ejercicio de funciones públicas de alto nivel.

---

Antecedentes

• En los últimos meses, España ha sufrido ya otros incidentes similares, lo que ha generado alarma en el entorno digital y político. En junio de 2025 se produjo otra filtración de carácter parecido, con datos de dirigentes políticos y periodistas, lo que llevó a detenciones.
• La legislación española ya contempla sanciones y responsabilidades para los actos que vulneren la protección de datos personales, especialmente cuando los afectados son personas con vida pública o representantes institucionales.

---

Normativa aplicable

Para analizar este caso, conviene recordar las leyes y reglamentos que entran en juego:

1. Reglamento (UE) 2016/679 (RGPD)
   • Establece derechos fundamentales en protección de datos personales en toda la Unión Europea.
   • Artículo 4: definiciones relevantes como «dato personal», «tratamiento», «violación de la seguridad de los datos personales».
   • Artículo 5: principios del tratamiento (licitud, transparencia, minimización, integridad y confidencialidad).
   • Artículo 32: obligaciones de seguridad.
   • Artículo 83: régimen sancionador para infracciones, incluidas las muy graves, con multas de hasta 20 millones €, o el 4 % del volumen de negocio global.
2. Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
   • Refuerza en España lo previsto en el RGPD, adaptando garantías y especificando derechos digitales adicionales.
   • Título X: derechos digitales.
   • Artículo 79 de la LOPDGDD: derechos básicos relacionados con la protección de datos (derecho al olvido, rectificación, supresión).
   • Artículo 84 y siguientes: infracciones y sanciones tipificadas como leves, graves y muy graves.
3. Otras normas relacionadas
   • Ley Orgánica 1/1982, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Puede entrar en juego si la filtración afecta al honor o intimidad.
   • Código Penal, artículos relacionados con la revelación de secretos, delictivo acceso a datos (por ejemplo, art. 197 CP).

---

Hechos jurídicos relevantes del caso

• Se alega que datos personales sensibles —como DNI, direcciones, datos familiares— han sido recopilados y difundidos sin consentimiento.
• La herramienta SpainData habría facilitado el acceso y la publicación. Se desconoce aún la procedencia exacta del acceso inicial (si fue hackeo directo, filtración interna, etc.).
• La plataforma usada para difusión fue Telegram, lo que agrava la situación por su alcance y velocidad de propagación.
• Se están involucrando datos de funcionarios públicos, miembros del CNI, etc., lo que añade complejidad en cuanto a la gravedad y al deber de protección que tiene el Estado.

---

Fundamentos legales aplicables

1. Derecho fundamental a la protección de datos personales
   • Reconocido en el RGPD, como parte del Derecho de la Unión, y en la Constitución Española, art. 18.4 (“La ley garantiza el secreto de las comunicaciones y la protección frente al uso indebido de datos personales”).
   • La LOPDGDD refuerza estos derechos en el ámbito estatal.
2. Principio de licitud y consentimiento
   • Según el RGPD, cualquier tratamiento de dato personal requiere una base legal (art. 6). En este caso, no existe consentimiento del afectado ni autorización legal que habilite la divulgación de información sensible.
   • De igual modo, la transparencia (art. 5 RGPD), minimización (no más datos de los estrictamente necesarios), y proporcionalidad se vulneran cuando se filtra información sensible.
3. Seguridad de los datos
   • Artículo 32 del RGPD obliga a los responsables del tratamiento a adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Si hay filtración, valorará si hubo negligencia, omisión o fallo en esas medidas.
4. Responsabilidad y sanciones
   • Si se comprueba responsabilidad del responsable del tratamiento (o de encargados), las infracciones pueden ser tipificadas como graves o muy graves, con sanciones monetarias significativas (hasta los máximos del RGPD).
   • También podrían derivarse responsabilidades civiles y penales, dependiendo del delito cometido (por ejemplo, revelación de secretos del Código Penal).
5. Protección reforzada para datos de personas con alto perfil o cargos públicos
   • Aunque la normativa no distingue formalmente una categoría especial en cuanto a sanciones, sí la protección se interpreta con especial rigor cuando los afectados son servidores públicos, pues el deber de reserva y secreto puede ser legalmente exigible más allá de lo común.

---

Jurisdicción y competencias

• Autoridad de control competente: la Agencia Española de Protección de Datos (AEPD) es la entidad encargada de investigar este tipo de infracciones, según la LOPDGDD y el RGPD (art. 77 en adelante).
• Órganos judiciales: dado que se trata de posibles delitos (acceso ilícito, revelación de secretos), también intervienen el Ministerio Fiscal y la Audiencia Nacional, si la filtración afecta a datos de miembros del Estado, fuerzas de seguridad etc.

---

Posibles defensas / líneas de investigación

Para los implicados, estas podrían ser algunas líneas que tratarán de explorar:

• Que los datos no hayan sido realmente sensibles según la definición legal (la LOPDGDD y el RGPD distinguen datos sensibles o de especial categoría, que requieren mayor protección).
• Que exista consentimiento válido por parte de los afectados (aunque difícil de acreditar si lo que denunciaron lo contradice).
• Que la filtración haya sido responsabilidad de terceros sin control razonable por parte del responsable del tratamiento.
• Que existan eximentes legales, como cumplimiento de una obligación legal, interés público superior, deber constitucional, etc.

---

Jurisprudencia aplicable

Algunas sentencias y decisiones que sientan precedentes relevantes:

1. Sentencia del Tribunal de Justicia de la Unión Europea (caso Breyer, C-582/14): determina que aunque los datos estén disponibles públicamente (por ejemplo IPs dinámicas), no significa que su tratamiento sea automáticamente licitado. Se requiere posibilidad razonable de identificar al interesado. (Esto aporta perspectiva para la idea de que “publicar datos porque están disponibles” no legitima el tratamiento si hay licencia legal).
2. STS sobre documentos de política de protección de datos: El Tribunal Supremo ha establecido que la AEPD puede extender procedimientos sancionadores abiertos por denuncias individuales hacia la política general de protección de datos de una empresa cuando las denuncias tienen origen común en ese documento. Esto es relevante para casos en que hay múltiples infracciones similares que provienen de una actitud institucional defectuosa.
3. Decisiones de la AEPD: En casos similares de difusión de datos personales sin autorización, la AEPD ha impuesto sanciones, ordenado ceses del tratamiento y retiradas de contenidos. Por ejemplo, multa por difusión de imágenes de menores, por vulneración del derecho al honor, intimidad o propia imagen. (Casos públicos recientes).

---

Gravedad, consecuencias y sanciones posibles

Dada la magnitud del incidente —datos sensibles de altos cargos, con publicación pública masiva— las sanciones probable incluirán:

• Multas muy graves bajo el RGPD/LOPDGDD.
• Posible responsabilidad penal si lo que ocurrió configura revelación de secretos o acceso ilícito a datos protegidos bajo el Código Penal.
• Reparación del daño moral que se haya causado a los afectados.
• Obligación de eliminar los datos, restablecer los efectos si fuera posible, retractación pública, etc.

---

Implicaciones políticas y sociales

• Hay un riesgo de pérdida de confianza institucional. publicistas, ciudadanos, entes políticos exigirán respuestas claras del Estado, de las instituciones afectadas, de los responsables de la seguridad digital.
• Reflexión sobre la protección de datos en el sector público, especialmente en función del perfil de los afectados: miembros del gobierno, ministros, fuerzas de seguridad.
• Reforzamiento probable de medidas legislativas o reglamentarias para prevenir filtraciones y regular claramente sanciones en casos de datos de suma relevancia pública.

---

Conclusión

La filtración masiva de datos personales de figuras del Gobierno y miembros de instituciones sensibles que está investigando la Audiencia Nacional constituye una amenaza grave al derecho fundamental de protección de datos. La normativa aplicable (RGPD, LOPDGDD, Código Penal, Ley de protección del honor/intimidad) ofrece herramientas legales para sancionar, reparar y prevenir, pero todo dependerá de la correcta investigación, la diligencia de las autoridades competentes, y la responsabilidad de los implicados.