El perito informatico judicial en lo contencioso-administrativo

En 2025, la AEPD impuso 298 sanciones por un total de 45,6 millones de euros, según su propia Memoria Anual. Muchas de esas empresas recurrieron en via contencioso-administrativa. Y un porcentaje creciente de esos recursos incluyen un informe pericial informático como pieza central de la defensa.

La jurisdicción contencioso-administrativa es donde más esta creciendo mi trabajo como perito. No es casual: la digitalizacion de las administraciones públicas genera más conflictos técnicos, más sanciones basadas en evidencia digital y más necesidad de que alguien traduzca la realidad técnica al lenguaje que el tribunal necesita. Las administraciones públicas tienen una tendencia a confiar ciegamente en sus propios sistemas, y ahi es donde mi informe pericial marca la diferencia.

He participado en recursos contra la Agencia Tributaria, la AEPD, ayuntamientos y la Seguridad Social donde la evidencia digital fue determinante. Tambien en expedientes disciplinarios donde los logs de acceso del funcionario no resistian un análisis técnico mínimo. Y en licitaciones tecnologicas donde la valoración de la mesa de contratación revelaba un desconocimiento profundo de la materia que puntuaba.

En esta guía explico en detalle como funciona el peritaje informático en esta jurisdicción, que diferencias procesales existen frente a civil, penal y laboral, en que ocho tipos de casos un informe técnico puede cambiar el resultado, y como desvirtuar la presuncion de veracidad que protege los actos de la Administración. Si eres abogado administrativista o tu empresa enfrenta un recurso contra la Administración, esta información te será directamente útil.

Que es la jurisdicción contencioso-administrativa y cuando necesitas un perito informático

La jurisdicción contencioso-administrativa es la via judicial para impugnar actos de las administraciones públicas. Regulada por la Ley 29/1998 (LJCA), cubre un espectro amplio: desde una multa de trafico hasta una sanción millonaria de la AEPD, pasando por la impugnación de un pliego de licitacion o la anulacion de un expediente disciplinario.

En mi experiencia, los casos donde un perito informático contencioso-administrativo resulta necesario comparten un patrón: la Administración ha tomado una decisión basada en datos técnicos que nadie cuestiona. El organismo presenta sus logs, sus informes internos, sus capturas de pantalla, sus volcados de bases de datos, y el administrado asume que eso es inapelable. No lo es.

Lo que distingue esta jurisdicción de civil o penal es que aquí el ciudadaño lucha contra la Administración, que parte con ventaja: la presuncion de veracidad de sus actos. Eso significa que cuando un organismo público afirma algo basandose en sus sistemás informáticos, el tribunal lo da por bueno salvo que alguien demuestre lo contrario. Ese “alguien” es el perito informático.

He visto esta dinamica decenas de veces. Un inspector de la AEPD escribe en su informe que “no se constato cifrado en la base de datos de clientes” y el magistrado lo acepta como hecho probado. Lo que el inspector no dice es que inspecciono un entorno de desarrollo, no el de producción, o que su comprobacion consistio en pedir un pantallazo y no en ejecutar una auditoria técnica real. Esos matices solo los puede identificar y explicar un perito con experiencia en sistemás reales, no teorica.

Cuando se necesita un perito informático en lo contencioso

Necesitas un perito informático en lo contencioso-administrativo cuando:

• Recurres una sanción de la AEPD y necesitas demostrar que implementaste medidas técnicas adecuadas o que la brecha no fue por negligencia
• Impugnas una liquidacion o sanción de la AEAT basada en datos de sistemás informáticos (Hacienda cruza datos automáticamente y los errores existen)
• Un funcionario enfrenta un expediente disciplinario donde la prueba son logs de acceso, correos electrónicos o actividad en sistemás corporativos
• Una empresa recurre la adjudicacion de una licitacion tecnologica y necesita demostrar que la valoración técnica fue incorrecta
• Cuestionas una auditoria de sistemás públicos que concluyo que tu software no cumplia requisitos del pliego
• Impugnas una resolución de un organismo regulador (CNMC, CNMV, Banco de España) que se basa en análisis de datos o sistemás tecnologicos
• Una administración local despliega tecnología de vigilancia (camaras, sensores, reconocimiento facial) y quieres impugnar la legalidad técnica del sistema
• Recurres una decisión automatizada de la Administración que te afecta (denegacion de prestacion, exclusion de un proceso selectivo, calificacion automática)
• Se disputan datos de monitorizacion ambiental o sanitaria que provienen de sensores públicos cuyos registros no se han validado adecuadamente

La clave es siempre la misma: hay un componente técnico que la Administración presenta como verdad indiscutible y que necesita ser cuestionado con rigor.

Mi perfil como perito en esta jurisdicción

Mi background como ex-CTO, 5x AWS Certified y con metodología ISO 27037 me situa en una posición específica dentro del contencioso-administrativo: no soy un perito generico que lee manuales antes de cada caso. He diseñado, construido y operado los mismos tipos de sistemás que luego tengo que auditar en un recurso. Cuando un inspector de la AEPD dice que “el cifrado era insuficiente”, puedo evaluar esa afirmacion desde la experiencia de haber implementado arquitecturas de cifrado en producción con miles de usuarios concurrentes. Cuando Hacienda presenta un cruce de datos del SII, entiendo como funciona ese sistema por dentro porque he integrado APIs similares en entornos reales.

Eso no es una ventaja teorica. Es la diferencia entre un informe pericial que el tribunal lee y archiva, y uno que cambia el sentido de la sentencia.

Anatomia de un recurso contencioso-administrativo con componente tecnologico

Para entender donde encaja el perito informático, conviene repasar las fases de un recurso contencioso-administrativo típico y en cuales de ellas mi trabajo aporta valor:

En cada una de estas fases, la colaboración perito-letrado es fundamental. No somos compartimentos estancos: el perito necesita entender la estrategia jurídica y el letrado necesita entender las posibilidades técnicas. Los mejores resultados los obtengo cuando el abogado me involucra desde la fase 1 y trabajamos en paralelo desde el principio.

Diferencias procesales entre jurisdicciones: tabla comparativa completa

Uno de los errores más habituales de los abogados que no litigan habitualmente en contencioso es asumir que el peritaje funciona igual que en civil. No es así. Las diferencias procesales afectan directamente a como preparo y presento el informe.

La diferencia más relevante en la práctica es la presuncion de veracidad de los actos administrativos. Cuando la AEPD dice que tu empresa no tenia cifrado, o cuando Hacienda dice que sus sistemás detectaron una discrepancia, el tribunal parte de que eso es cierto. Mi informe pericial tiene que demostrar lo contrario con evidencia técnica solida.

Otra diferencia crítica: en contencioso, el expediente administrativo es una pieza procesal que el tribunal revisa de oficio. Muchas veces, la clave del caso esta en demostrar que el propio expediente contiene errores técnicos, logs incompletos o conclusiones que no se sostienen tecnicamente.

Hay un aspecto procesal que pocos abogados aprovechan: el artículo 61.1 LJCA permite solicitar la ampliacion del expediente administrativo cuando se considere incompleto. Cuando detecto que faltan logs, informes técnicos internos o documentación de configuración en el expediente, asesoro al letrado para que solicite esa ampliacion antes de la fase de prueba. Ese paso puede ser decisivo.

En la jurisdicción laboral, el peritaje informático se centra casí siempre en despidos por uso indebido de herramientas corporativas, monitorizacion del empleado o BYOD. En contencioso-administrativo, el abanico es mucho más amplio y la complejidad técnica suele ser mayor, porque los sistemás de la Administración estan sujetos a normativa específica (ENS, RGPD, Ley 40/2015 de Régimen Jurídico del Sector Público) que anade capas de exigencia técnica.

Lo que implica cada diferencia para la preparación del informe

Estas diferencias procesales no son academicas. Cada una tiene implicaciones prácticas directas en como preparo mi informe pericial:

La presuncion de veracidad obliga a un informe más agresivo. En civil, mi informe puede limitarse a presentar los hechos técnicos desde la perspectiva de mi cliente. En contencioso, además tengo que desmontar activamente las conclusiones de la Administración. Eso requiere un análisis más profundo, más páginas y más horas de trabajo. Un informe pericial para contencioso suele tener entre 20 y 60 páginas frente a las 10-25 habituales en civil.

El expediente administrativo es mi principal fuente de información. En civil, el perito puede acceder a los sistemás de ambas partes con su consentimiento o por orden judicial. En contencioso, la principal fuente de información es el expediente que la Administración remite al tribunal. Si el expediente es incompleto o las pruebas técnicas estan mal documentadas, mi informe lo pone de manifiesto y lo utiliza como argumento: si la propia Administración no documento adecuadamente su actuación técnica, sus conclusiones son cuestionables.

El plazo más corto exige planificación anticipada. En el procedimiento ordinario civil hay 20 días para proponer prueba. En contencioso ordinario, 15 días. En el abreviado, la prueba se propone en el acto de la vista. Esto significa que el informe pericial debe estar preparado antes de que se abra el periodo de prueba, no después. El perito y el letrado deben trabajar en paralelo con la redaccion de la demanda.

La rareza del perito judicial exige mayor rigor del perito de parte. En civil, si hay dos informes periciales contradictorios, el tribunal puede nombrar un perito judicial que dirima la discrepancia. En contencioso, eso es infrecuente. El tribunal decide con los informes de parte que tiene. Eso significa que mi informe debe ser especialmente riguroso, porque es probable que sea la única referencia técnica que el magistrado tenga para resolver la controversia.

Las costas se conceden con criterio restrictivo. En civil, las costas se imponen al vencido como regla general. En contencioso, solo se imponen en caso de temeridad o mala fe (art. 139 LJCA). Esto tiene una implicacion práctica: si el recurso se desestima, normalmente no se imponen costas al recurrente. Pero si se estima, se pueden incluir en la tasacion de costas los gastos del informe pericial como gasto necesario para la defensa. Eso significa que recurrir con informe pericial tiene un riesgo económico limitado (pagas el informe pase lo que pase) pero un beneficio potencial alto (recuperas el coste si ganas).

El Abogado del Estado tiene recursos limitados para pericia informática. En mi experiencia, la Abogacia del Estado rara vez aporta un contrainforme pericial informático propio en contencioso. Lo que suele hacer es cuestionar el informe de parte durante la ratificación, intentando debilitar las conclusiones del perito con preguntas estrategicas. Eso significa que en la mayoria de los casos, mi informe es el único dictamen técnico que el tribunal tiene para decidir. La calidad y la solidez de mi informe son aun más determinantes en estas condiciones.

Ocho tipos de casos donde el peritaje informático es determinante

Despues de varios años trabajando en esta jurisdicción, estos son los ocho escenarios donde más valor aporta mi informe pericial.

1. Impugnación de sanciones AEPD

La AEPD sanciona con base en informes técnicos internos. Cuando una empresa recurre, necesita un perito que analice si las medidas de seguridad eran realmente inadecuadas o si la brecha se debio a un ataque sofisticado que ninguna medida razonable habría evitado. He analizado casos donde la AEPD concluia “cifrado insuficiente” cuando en realidad el cifrado AES-256 estaba correctamente implementado pero el vector de ataque fue ingenieria social, no una vulnerabilidad técnica.

Los procedimientos sancionadores de la AEPD siguen un patrón predecible: el inspector redacta un informe técnico, la Subdirectora de Inspeccion propone la sanción y el Director de la AEPD la confirma. En todo ese recorrido, rara vez interviene un perito externo que cuestione las conclusiones técnicas. Esa es exactamente la función que cumplo cuando la empresa decide recurrir en contencioso.

Los errores más frecuentes que encuentro en los informes técnicos de la AEPD son: confundir entornos (desarrollo vs producción), evaluar medidas de seguridad con criterios genericos en lugar de proporcionales al riesgo, ignorar controles compensatorios que el responsable de tratamiento tenia implementados, y no distinguir entre vulnerabilidades explotadas y vulnerabilidades meramente existentes. Cada uno de estos errores es una linea de defensa que el informe pericial puede desarrollar.

Un aspecto que muchos abogados desconocen: la AEPD pública sus resoluciónes sancionadoras completas en su buscador de resoluciónes. Antes de preparar un informe pericial, reviso las resoluciónes previas del mismo tipo para identificar los argumentos técnicos que la AEPD utiliza recurrentemente y preparar respuestas específicas. Esa preparación marca la diferencia entre un informe reactivo y uno anticipatorio.

Las sanciones de la AEPD se recurren ante la Audiencia Nacional (Sala de lo Contencioso-Administrativo), que en los últimos años ha mostrado una receptividad creciente hacia la prueba pericial informática. Los magistrados de la Audiencia Nacional entienden que las cuestiones de ciberseguridad y protección de datos requieren explicación técnica especializada. He visto sentencias donde la Audiencia Nacional cita textualmente conclusiones del informe pericial informático como fundamento de la estimacion del recurso. Eso no ocurre con informes genericos o superficiales: ocurre cuando el perito demuestra dominio real de la materia y el informe esta estructurado para facilitar la labor del magistrado.

2. Recursos contra liquidaciones y sanciones de la AEAT

Hacienda utiliza sistemás automatizados para cruzar datos y detectar discrepancias. El problema es que esos sistemás tienen falsos positivos. He participado en recursos donde la liquidacion complementaria se basaba en datos que el sistema de la AEAT habia procesado incorrectamente: duplicidades en el SII, errores de sincronizacion en el modelo 303, o interpretaciones automáticas de movimientos bancarios que no correspondian con la realidad.

El caso típico que llega a mi despacho involucra a una empresa que ha recibido una comprobacion limitada o una inspeccion donde la AEAT presenta datos extraidos de sus propios sistemás como si fueran verdades absolutas. Mi trabajo es verificar si esos datos son correctos, si el proceso de extracción fue fiable y si la interpretacion que hace el inspector tributario tiene fundamento técnico. En más de una ocasion, he encontrado que el propio sistema de Hacienda presentaba inconsistencias internas.

Un escenario cada vez más frecuente es el cruce de datos entre plataformás digitales y la AEAT bajo la DAC7 (Directiva 2021/514). Las plataformás reportan automáticamente los ingresos de vendedores y prestadores de servicios, pero esos datos pueden contener duplicidades, errores de conversion de divisa o atribuciones incorrectas. Cuando Hacienda inicia una comprobacion basada en esos datos automatizados, el contribuyente necesita un perito que verifique la integridad del flujo de datos desde la plataforma hasta el expediente de Hacienda.

Los errores más habituales que encuentro en los cruces de datos de la AEAT son:

• Duplicidades por multiples cuentas: Un mismo vendedor registrado en una plataforma con dos cuentas (personal y de empresa) aparece como dos contribuyentes diferentes, duplicando sus ingresos declarados
• Errores de conversion de divisa: Las plataformás internacionales reportan en la divisa del marketplace, pero la conversion a euros puede hacerse con el tipo de cambio del día de la operación, del día del cobro o del día del cierre fiscal, generando diferencias significativas
• Devoluciones no compensadas: Los reembolsos de compras se procesan con semanas o meses de retraso y pueden no aparecer en el mismo periodo fiscal que la venta original, inflando artificialmente los ingresos de un periodo
• Comisiones de plataforma incluidas en el ingreso bruto: Algunas plataformás reportan el precio bruto del producto incluyendo su propia comision, que no es ingreso del vendedor. Si Hacienda no descuenta la comision, atribuye al vendedor ingresos que nunca recibio

Otro ámbito creciente son las facturas electrónicas y el SII (Suministro Inmediato de Información). El SII obliga a transmitir los registros de facturacion en tiempo real, y los errores técnicos en la transmisión pueden generar discrepancias que Hacienda interpreta como incumplimientos o fraude. He visto casos donde un timeout en la API del SII provoco que facturas no se registraran en plazo, generando una sanción automática. Mi informe pericial demostro que el error fue del sistema de la AEAT, no del contribuyente.

Con la entrada en vigor del sistema VeriFactu (facturacion electrónica obligatoria), previsto para 2026-2027, anticipo un aumento significativo de recursos contencioso-administrativos relacionados con errores en la transmisión automática de facturas. VeriFactu obliga a que los sistemás de facturacion envien un registro simultaneo a la AEAT de cada factura emitida, lo que multiplica los puntos de fallo técnico (conectividad, compatibilidad de formatos, validación de firmás digitales, sincronizacion temporal). Cada uno de esos fallos puede generar una discrepancia que Hacienda interprete como incumplimiento. Mi experiencia con el SII me ha ensenado que los sistemás automáticos de la AEAT no distinguen entre un error técnico y una irregularidad fiscal: tratan ambos como “discrepancia” y actuan en consecuencia. El perito informático es quien puede hacer esa distincion ante el tribunal.

Otro escenario cada vez más frecuente es la fiscalidad de criptoactivos. La AEAT ha intensificado sus comprobaciones sobre operaciones con criptomonedas a raiz de los datos obtenidos de exchanges bajo la DAC7 y los requerimientos individuales del modelo 721 (declaración de monedas virtuales en el extranjero). Los datos que los exchanges reportan a la AEAT no siempre coinciden con la realidad de las operaciones del contribuyente por multiples motivos técnicos: los exchanges utilizan diferentes métodos de calculo de coste de adquisición, las operaciones entre wallets propias pueden interpretarse incorrectamente como ventas, y los airdrops, forks y staking generan eventos fiscales que los exchanges no siempre reportan correctamente. Mi informe pericial reconstruye el historial completo de operaciones del contribuyente a partir de los datos de la blockchain (que son inmutables y verificables), y lo contrasta con los datos que la AEAT maneja. En más de un caso, la diferencia ha sido significativa.

La ventaja técnica del análisis on-chain es que la blockchain es una fuente de datos inmutable e independiente tanto del contribuyente como de la AEAT. Ni el contribuyente puede falsificar sus operaciones en la blockchain (estan firmadas criptograficamente), ni la AEAT puede cuestionar la autenticidad de los datos (son públicos y verificables por cualquiera). El informe pericial que reconstruye operaciones a partir de datos on-chain tiene una solidez probatoria excepcional porque se basa en una fuente de verdad que ninguna de las partes controla.

Los casos de criptoactivos ante la AEAT presentan además una complejidad adicional: la interpretacion fiscal de determinadas operaciones (airdrops, staking rewards, liquidity pool yields, governance tokens) no esta claramente definida por la normativa tributaria. En estos casos, mi informe pericial no solo reconstruye los hechos técnicos, sino que explica al tribunal la naturaleza técnica de cada tipo de operación para que el magistrado pueda evaluar si la calificacion fiscal que la AEAT ha aplicado es correcta o no. No valoro juridicamente la cuestion (eso es función del letrado), pero aporto la base técnica necesaria para que la valoración jurídica sea informada.

3. Licitaciones y contratación pública tecnologica

Las valoraciones técnicas en licitaciones públicas a veces contienen errores de concepto. He informado en recursos donde la mesa de contratación puntuo negativamente una solución tech por motivos que no se sostenian tecnicamente, o donde la empresa adjudicataria no cumplia realmente los requisitos del pliego.

Este tipo de casos requiere un perito con experiencia real en arquitectura de software y sistemás cloud. No basta con saber derecho administrativo: hay que entender que significa “alta disponibilidad”, “escalabilidad horizontal” o “cumplimiento ENS nivel alto” para poder valorar si la puntuacion técnica fue justa o arbitraria. Mi background como ex-CTO y 5x AWS Certified me permite evaluar estos pliegos con criterio técnico real, no teorico.

En los últimos dos años he visto un aumento notable de recursos contra adjudicaciones de contratos cloud, migraciones a la nube pública, desarrollo de aplicaciones móviles para administraciones y plataformás de sede electrónica. Los pliegos de prescripciones técnicas suelen estar redactados con ambiguedad técnica, lo que permite interpretaciones dispares en la valoración. Mi informe pericial traduce esa ambiguedad en criterios técnicos objetivos que el tribunal puede utilizar para evaluar si la puntuacion fue arbitraria.

Un caso paradigmatico: una empresa licitaba un servicio cloud con requisito de “alta disponibilidad 99,9%”. La mesa de contratación puntuo mejor a un competidor que ofrecia un único servidor dedicado frente a la arquitectura multi-zona del recurrente. El informe de valoración técnica confundía “uptime del servidor” con “disponibilidad del servicio”. Mi informe pericial explico la diferencia y demostro que la solución del adjudicatario no podía cumplir el SLA del pliego.

Los conceptos técnicos que con más frecuencia se malinterpretan en las valoraciones de licitaciones públicas son:

Cuando detecto que la mesa de contratación ha cometido uno de estos errores, mi informe pericial no solo senala el error: explica por que importa, que consecuencias tiene para el servicio público y por que la solución del recurrente es tecnicamente superior en el criterio concreto que se valoro incorrectamente.

4. Expedientes disciplinarios a funcionarios y empleados públicos

Cuando un funcionario es sancionado por uso indebido de sistemás informáticos, la prueba suelen ser logs de acceso. Mi trabajo consiste en verificar si esos logs son fiables, si la cadena de custodía se mantuvo, y si la interpretacion que hace el instructor del expediente es tecnicamente correcta. Los sistemás de logging de muchas administraciones tienen carencias que pueden invalidar la prueba.

Un problema recurrente que encuentro es que los logs de acceso de las administraciones públicas no cumplen estandares mínimos de integridad. No tienen firma digital, no hay evidencia de que no hayan sido modificados, y en muchos casos se presentan como exportaciones a Excel sin metadatos del sistema original. Eso no sería admisible como prueba en un procedimiento penal, y en contencioso tampoco debería serlo sin cuestionamiento.

Los expedientes disciplinarios son especialmente delicados porque pueden terminar con la separacion del servicio del funcionario, que es la sanción máxima equivalente al despido. He visto expedientes donde se acusaba a un funcionario de acceder a expedientes de familiares en un sistema de gestión, pero los logs no registraban que tipo de operación se realizo (consulta, modificación, impresion), solo el acceso al modulo. Sin poder distinguir entre acceso accidental y acceso deliberado con finalidad ilícita, la prueba es insuficiente. Mi informe pericial desmonta esa insuficiencia probatoria.

Otro patrón frecuente: funcionarios sancionados por “uso personal de Internet en horario laboral” basandose en logs del proxy o del firewall. Esos logs suelen registrar peticiones DNS o conexiones TCP, no la actividad del usuario. Un navegador puede generar cientos de conexiones a dominios publicitarios, de tracking o de CDN sin que el usuario haya visitado esos sitios deliberadamente. Explicar al tribunal esa realidad técnica puede cambiar radicalmente la valoración de la prueba.

Hay un elemento adicional que encuentro con frecuencia en expedientes disciplinarios de la función pública: la confusion entre correlación y causalidad. El hecho de que un funcionario accediera a un sistema en un momento determinado no demuestra que realizara una accion concreta en ese sistema. Los logs de acceso registran la autenticación, no necesariamente la accion posterior. Si el sistema no tiene un log de auditoria granular que registre cada operación (consulta, modificación, exportacion, impresion), la Administración esta construyendo su caso sobre arena. Mi informe pericial expone esa debilidad probatoria y obliga al tribunal a valorar si la evidencia es realmente suficiente para la sanción impuesta.

En el ámbito de la Seguridad Social, he analizado expedientes disciplinarios donde se acusaba a un empleado de consultar historiales de cotizacion de familiares. El sistema registraba el número de expediente consultado, pero no si la consulta fue deliberada o resultado de una busqueda amplia en la que el expediente aparecia entre cientos de resultados. Mi análisis del sistema demostro que la interfaz de busqueda mostraba resultados por defecto ordenados alfabeticamente, y que era técnica e inevitablemente posible que el expediente del familiar apareciera en pantalla durante una busqueda legítima sin que el funcionario lo hubiera buscado activamente.

5. Camaras de vigilancia, smart cities y tecnología de vigilancia municipal

Los ayuntamientos estan desplegando tecnología de vigilancia a un ritmo acelerado: camaras con reconocimiento facial, sensores de matriculas (ANPR), redes de sensores IoT, plataformás de smart city. Muchas de estas implantaciones se hacen sin evaluación de impacto en protección de datos (EIPD) o con evaluaciones deficientes que no abordan los riesgos reales.

He participado en recursos donde vecinos o asociaciones impugnaban la instalación de camaras de vigilancia municipales. Mi informe pericial analizo las especificaciones técnicas del sistema para determinar si las camaras capturaban datos biometricos (en cuyo caso se requiere el artículo 9 RGPD), si el angulo de vision excedía el espacio público necesario, si existian mecanismos reales de anonimizacion o si el almacenamiento cumplia con los plazos de la Instrucción 1/2006 de la AEPD.

Un caso particularmente interesante fue un ayuntamiento que instalo un sistema de lectura automática de matriculas para controlar una zona de bajas emisiones. El sistema almacenaba la posición GPS, la hora, la dirección de circulacion y una imagen del vehiculo con el conductor visible. Mi informe pericial demostro que el tratamiento de datos era desproporcionado: para verificar la autorización de un vehiculo basta con la matricula, sin necesidad de almacenar la imagen del conductor ni la trayectoria completa.

Las plataformás de smart city (gestión integral de servicios urbaños: iluminacion, riego, residuos, trafico, aparcamiento) generan un volumen masivo de datos sobre los ciudadaños. Cuando estas plataformás se implementan sin una evaluación de impacto adecuada, o cuando los datos se comparten con terceros sin base jurídica suficiente, el recurso contencioso-administrativo puede requerir un perito que analice la arquitectura de datos de la plataforma, identifique que datos personales se recogen, como se procesan, donde se almacenan, quien tiene acceso y si los controles de seguridad son proporcionales a la sensibilidad de los datos.

He visto plataformás smart city donde los datos de movilidad de los ciudadaños (recogidos por sensores de trafico y aparcamiento) se cruzaban con datos de consumo de agua y electricidad para crear “perfiles de comportamiento urbano”. Esa correlación de datos, que permite inferir habitos de vida, horarios y ausencias del domicilio, constituye un tratamiento que requiere una base jurídica solida y medidas de seguridad reforzadas. Mi informe pericial documento que la plataforma carecia de ambas cosas.

El uso de drones por parte de administraciones locales (policia local, protección civil, inspeccion urbanistica) genera un nuevo frente de recursos contencioso-administrativos. Los drones equipados con camaras de alta resolución captan imagenes que pueden incluir personas identificables, matriculas de vehiculos e interiores de propiedades. Cuando un ciudadaño impugna una sanción basada en imagenes captadas por un dron municipal, el perito puede analizar las especificaciones técnicas del dron y su camara, el plan de vuelo, la altitud y angulo de captura, si se activo algun mecanismo de anonimizacion automática, y si el tratamiento de las imagenes cumple con la normativa de protección de datos y la regulación de vuelos no tripulados de la AESA (Agencia Estatal de Seguridad Aerea).

6. Votacion electrónica y procesos selectivos digitalizados

La digitalizacion de procesos selectivos (oposiciones, concursos de meritos, bolsas de empleo) y de consultas ciudadanas genera un nuevo frente de recursos contencioso-administrativos donde la pericia informática es esencial.

He analizado plataformás de examenes online donde los resultados se almacenaban en bases de datos sin controles de integridad, sin logs de auditoria de modificaciones y sin mecanismos que garantizaran que las respuestas no fueron alteradas tras la finalizacion del examen. En un caso, la plataforma permitia que un administrador con acceso a la base de datos modificara respuestas individuales sin dejar rastro. Mi informe pericial documento esa vulnerabilidad y el tribunal ordeno la repeticion del proceso selectivo.

Los requisitos mínimos que debería cumplir una plataforma de examenes online para un proceso selectivo público son:

• Audit trail inmutable: Cada accion (respuesta, modificación, envio) debe quedar registrada con timestamp, usuario y hash del estado anterior, de forma que cualquier alteracion posterior sea detectable
• Cifrado de respuestas en transito y en reposo: Las respuestas del opositor deben cifrarse desde el navegador hasta el servidor y almacenarse cifradas en la base de datos
• Sellado temporal: Al finalizar el examen, el conjunto de respuestas debe sellarse con un timestamp de una autoridad de sellado de tiempo (TSA) conforme a la norma eIDAS
• Segregacion de roles: Ningun administrador individual debe poder acceder a las respuestas y al resultado simultaneamente
• Verificabilidad por el opositor: El opositor debe poder verificar que sus respuestas registradas coinciden con las que envio, mediante un recibo firmado digitalmente

Cuando una plataforma no cumple estos requisitos y un opositor impugna el resultado, mi informe pericial documenta cada deficiencia y su impacto potencial en la integridad del proceso selectivo.

Los sistemás de votacion electrónica municipal presentan problemás similares. La verificabilidad del voto, el secreto del sufragio, la auditabilidad del recuento y la integridad de los resultados son requisitos técnicos que muchos proveedores no cumplen adecuadamente. Cuando un ciudadaño o un grupo politico impugna los resultados de una consulta electrónica, necesita un perito que evalua si el sistema cumplia las garantías mínimás de un proceso democratico transparente.

Los procesos selectivos digitalizados presentan un reto adicional: la trazabilidad de las respuestas del opositor. En un examen presencial en papel, existe una evidencia física (el examen escrito) que el opositor puede verificar. En un examen online, la única evidencia es un registro en una base de datos. Si ese registro puede ser modificado sin dejar rastro (porque el sistema no implementa un audit trail inmutable), la garantía procesal del opositor queda comprometida. He analizado plataformás de examenes online de varias Comunidades Autonomás y en ninguna de ellas encontre un sistema de audit trail que cumpliera los requisitos mínimos de integridad que yo exigiria para un entorno de producción crítico.

Otro problema frecuente en los procesos selectivos digitalizados es la gestión de las incidencias técnicas. Cuando un opositor pierde la conexión durante un examen online, o el sistema se ralentiza, o la plataforma no carga las imagenes del enunciado, el protocolo de actuación de la administración suele ser insuficiente o inexistente. Mi informe pericial puede documentar la incidencia técnica, estimar su impacto en el resultado del opositor y evaluar si el protocolo de contingencia de la administración era adecuado.

7. Datos de salud pública y sistemás sanitarios

La pandemia acelero la digitalizacion sanitaria y con ella los conflictos sobre datos de salud en la Administración. Historias clinicas electrónicas, sistemás de cita previa, apps de seguimiento, pasaportes sanitarios digitales: todos generaron litigios que requieren pericia informática.

He trabajado en casos donde un paciente impugnaba el contenido de su historia clinica electrónica alegando que habia sido modificada tras un evento adverso. Mi análisis del sistema demostro que la plataforma de historia clinica no implementaba un log de auditoria inmutable: los registros podian ser editados por personal autorizado sin que quedara constancia de la versión anterior. Esa ausencia de trazabilidad, que incumple el artículo 18 de la Ley 41/2002 de autonomia del paciente, fue determinante para que el tribunal admitiera la pericial y cuestionara la fiabilidad de la historia clinica como prueba.

Otro ámbito creciente es la impugnación de resoluciónes basadas en datos de sistemás de información sanitaria. Cuando una Comunidad Autonoma deniega una prestacion basandose en datos de su sistema de información, el ciudadaño puede recurrir cuestionando la fiabilidad de esos datos. Mi informe pericial analiza el sistema, su arquitectura, sus controles de calidad de datos y sus mecanismos de actualizacion para determinar si los datos en los que se basa la resolución son fiables.

Un aspecto particularmente sensible es la interoperabilidad entre sistemás sanitarios de distintas Comunidades Autonomas. Cuando un paciente atendido en una Comunidad diferente a la suya impugna una decisión basada en datos de su historia clinica, hay que verificar si la transferencia de datos entre sistemás fue correcta, si los formatos son compatibles y si no se produjo pérdida de información en la traduccion entre sistemas. He encontrado casos donde el diagnóstico de un paciente se altero al transferir datos entre dos sistemás sanitarios autonomicos que utilizaban codificaciones diferentes (CIE-9 vs CIE-10) sin un mapeo correcto, generando una denegacion de prestacion basada en un diagnóstico erroneo.

La receta electrónica interoperable es otro foco de conflictos. Cuando un paciente no puede dispensar su medicacion en una farmacia de otra Comunidad Autonoma porque el sistema de interoperabilidad falla, la cuestion técnica es: el fallo esta en el sistema de la Comunidad de origen, en el de destino, en el nodo de interoperabilidad o en el punto de dispensacion? Mi informe pericial puede analizar los logs de cada uno de esos sistemás para identificar donde se produjo el error y determinar que administración es responsable.

La telemedicina, acelerada desde la pandemia, anade otra capa de complejidad. Las plataformás de teleconsulta generan registros electrónicos de las sesiones (conexión, duracion, documentos compartidos, prescripciones), pero muchas de estas plataformás no cumplen los requisitos de trazabilidad del ENS o del Esquema Nacional de Interoperabilidad. Cuando un paciente impugna el contenido de una teleconsulta, necesita un perito que verifique la integridad de esos registros electrónicos y determine si son fiables como evidencia.

8. Monitorizacion ambiental y datos de sensores públicos

Las administraciones públicas utilizan redes de sensores para medir calidad del aire, niveles de ruido, caudales de agua, radiacion y otros parametros ambientales. Las resoluciónes administrativas basadas en esos datos (sanciones por contaminacion, restricciones de actividad, denegaciones de licencia) son impugnables si se demuestra que los datos de los sensores no son fiables.

He analizado redes de sensores de calidad del aire donde los equipos no se calibraban en los intervalos recomendados por el fabricante, donde los datos perdidos se interpolaban sin documentar el método, y donde las estaciones de medicion estaban ubicadas en posiciones que no representaban las condiciones reales de la zona monitorizada. Cuando una empresa recibe una sanción por superar limites de emision basandose en datos de un sensor defectuoso o mal calibrado, el informe pericial puede desvirtuar la presuncion de veracidad de esos datos.

Un caso concreto involucro a una fabrica sancionada por superar limites de ruido nocturno. El sonometro del ayuntamiento registro niveles de 65 dB(A) en periodo nocturno. Mi informe pericial demostro que el equipo no habia sido calibrado en 18 meses (el fabricante recomienda calibracion anual), que la ubicacion del sensor estaba a 2 metros de una via de trafico pesado cuya contribucion acustica no se segregaba, y que los registros no distinguian entre el ruido de la fabrica y el ruido ambiental de fondo. El tribunal anulo la sanción y ordeno una nueva medicion con equipos calibrados y metodología conforme a la normativa ISO 1996-1:2016.

En el ámbito de la calidad del agua, he analizado datos de estaciones de medicion automática donde los valores de pH y conductividad presentaban saltos bruscos que no correspondian a ningun evento de vertido real, sino a errores de calibracion del sensor. La administración hidrologica habia sancionado a una empresa basandose en esos datos sin verificar la fiabilidad de las mediciones. Mi informe pericial incluyo un análisis estadistico de la serie temporal de datos que demostro la presencia de valores anómalos consistentes con un error sistemático del sensor, no con un vertido puntual.

Un aspecto técnico que pocos peritos abordan en casos de monitorizacion ambiental es la cadena de custodía de los datos digitales del sensor. Los datos viajan desde el sensor físico hasta un datalogger, de ahi a un servidor central via comunicación inalambrica (normalmente GPRS o LoRaWAN), se almacenan en una base de datos y finalmente se exportan para incluirlos en el expediente sancionador. En cada una de esas etapas puede producirse una alteracion, una pérdida o un error de transmisión. Si la administración no puede documentar la integridad del dato en cada punto de la cadena, la fiabilidad del dato como prueba es cuestionable. Mi informe pericial analiza esa cadena completa y senala los puntos donde la integridad del dato no esta garantizada.

Las estaciones de medicion ambiental también son vulnerables a factores externos que pueden distorsionar las lecturas. He documentado casos donde un sensor de calidad del aire ubicado junto a una carretera registraba niveles de particulas PM2.5 que la administración atribuia a una fabrica cercana, cuando en realidad el 80% de las particulas procedian del trafico rodado. Sin un análisis de contribucion de fuentes (source apportionment), la sanción se basaba en una atribucion incorrecta. Mi informe pericial incluyo un análisis de los patrones temporales de las lecturas (picos coincidentes con horas punta de trafico, no con los turnos de producción de la fabrica) que demostro que la fabrica no era la fuente principal de las particulas medidas.

Tabla resumen: ocho tipos de casos y que aporta el perito

La presuncion de veracidad: que es y como desvirtuarla con un informe pericial

Este es el punto más importante de toda la guía y lo que diferencia radicalmente el contencioso-administrativo de otras jurisdicciones. Sin entender la presuncion de veracidad y como funciona en la práctica, es imposible preparar un informe pericial eficaz en contencioso. He dedicado muchas horas a estudiar la jurisprudencia sobre esta cuestion, y lo que he aprendido es que la presuncion no es tan solida como parece: es un escudo con fisuras, y el informe pericial informático es la herramienta para encontrar y explotar esas fisuras.

Que dice la ley

El artículo 77.5 de la Ley 39/2015 establece que los documentos formalizados por funcionarios tienen valor probatorio. Los hechos constatados por agentes de la autoridad gozan de presuncion de veracidad. Esto significa que si un inspector de la AEPD dice en su informe que tu servidor no tenia el parche de seguridad X, el tribunal lo acepta como cierto salvo prueba en contrario.

Y esa prueba en contrario es, casí siempre, un informe pericial informático.

Limites de la presuncion de veracidad

La presuncion de veracidad no es absoluta, aunque muchos administrados y algunos abogados la tratan como si lo fuera. El Tribunal Constitucional ha dejado claro en reiterada jurisprudencia (por todas, STC 76/1990) que esta presuncion:

1. Solo afecta a los hechos directamente percibidos por el funcionario, no a sus valoraciones, interpretaciones o conclusiones técnicas. Cuando un inspector de la AEPD constata que “accedio al servidor y verifico la configuración”, la presuncion cubre que accedio al servidor. No cubre que la configuración fuera insuficiente: eso es una valoración técnica, no un hecho percibido.

2. Es una presuncion iuris tantum, desvirtuable por prueba en contrario. No invierte la carga de la prueba en sentido absoluto, sino que establece un punto de partida que el administrado debe superar.

3. No se aplica a informes de terceros incorporados al expediente. Si la Administración encarga un informe técnico a una empresa externa y lo incorpora al expediente sancionador, ese informe no goza de presuncion de veracidad. Es una prueba documental que debe valorarse según las reglas generales.

4. No ampara las conclusiones derivadas de procesos automatizados. Cuando la AEAT genera una liquidacion a partir de un cruce automático de datos, esos datos no han sido “constatados” por ningun funcionario. Son el resultado de un algoritmo, y los algoritmos cometen errores. Esta distincion es cada vez más relevante a medida que las administraciones automatizan más decisiones: los sistemás de scoring para la selección de contribuyentes a inspeccionar, los algoritmos de detección de fraude en prestaciones sociales, los sistemás de priorizacion de expedientes, todos toman decisiones que afectan a ciudadaños pero que ningun funcionario ha constatado personalmente.

5. No se extiende a los errores de transcripcion o exportacion de datos. Los datos del expediente que la Administración presenta como “hechos probados” pueden haber sufrido errores de transcripcion, exportacion o formateo al ser extraidos del sistema original e incorporados al expediente. Si puedo demostrar que los datos del expediente no coinciden con los datos del sistema fuente, la presuncion de veracidad se quiebra porque los “hechos” que el funcionario constato no son los que figuran en el expediente.

Los tres pilares del informe pericial para desvirtuar la presuncion

Para desvirtuar la presuncion de veracidad, mi informe debe cumplir tres condiciones:

Jurisprudencia clave sobre presuncion de veracidad y prueba pericial

La jurisprudencia del Tribunal Supremo ha reconocido en varias sentencias que la presuncion de veracidad no es absoluta y puede ser desvirtuada por prueba pericial:

• La STS de 16 de febrero de 2023 (rec. 5765/2021), Sala Tercera, reitero que “la presuncion de veracidad de los actos administrativos admite prueba en contrario, siendo especialmente relevante la pericial cuando se trata de cuestiones técnicas”.

• La STS de 22 de marzo de 2022 (rec. 3412/2020), Sala Tercera, establecio que “cuando la Administración funda su actuación en informes técnicos internos, la falta de contradiccion de dichos informes no puede suplirse con la mera presuncion de veracidad del acto administrativo”.

• La Audiencia Nacional, en SAN de 14 de enero de 2024 (rec. 512/2022), Seccion Primera, reconocio expresamente el valor de la prueba pericial informática para cuestionar las conclusiones técnicas de la AEPD, senalando que “el informe pericial aportado desvirtua de manera suficiente las apreciaciones técnicas del informe de inspeccion en lo relativo a la adecuacion de las medidas de seguridad”.

Estas sentencias confirman lo que veo en la práctica: cuando el informe pericial es solido, detallado y comprensible, los tribunales le dan un peso probatorio determinante.

Errores habituales al intentar desvirtuar la presuncion

En mi experiencia, los intentos fallidos de desvirtuar la presuncion de veracidad comparten errores comunes:

• Presentar un informe pericial generico. Un informe que explica la ciberseguridad en general pero no analiza el caso concreto no desvirtua nada. El tribunal necesita un análisis específico de por que las conclusiones técnicas del expediente son incorrectas en este caso particular.

• No cuestionar la metodología del organismo. Muchos informes periciales se limitan a presentar una versión alternativa de los hechos sin explicar por que la versión de la Administración es erronea. Eso no es suficiente: si no explicas por que el informe del inspector esta mal, el tribunal no tiene motivo para preferir tu versión.

• Usar jerga técnica sin traduccion. Un informe que dice “el WAF configurado con reglas OWASP CRS v3.3 mitigaba los top 10 OWASP incluyendo SQLi y XSS reflected” es tecnicamente correcto pero inutil para un magistrado. Hay que traducir: “la empresa tenia instalado un sistema de protección que bloquea automáticamente los 10 tipos de ataque informático más frecuentes según el estandar internacional de referencia”.

• No aportar evidencia positiva. No basta con decir que el inspector se equivoco. Hay que demostrar afirmativamente que las medidas de seguridad existian y eran adecuadas, con evidencia documental verificable. Capturas de configuración, certificados de cumplimiento, informes de auditoria externa, registros de parcheado: todo debidamente hasheado y con marca temporal.

• Ignorar el expediente administrativo. El informe pericial debe dialogar con el expediente. Debe referenciar folios concretos, citar las afirmaciones del inspector y rebatirlas una por una. Un informe que no menciona el expediente parece redactado en el vacio.

Evitar estos errores es parte de lo que diferencia un informe pericial que cambia el resultado del recurso de uno que acaba siendo irrelevante para la sentencia.

Análisis del artículo 60 LJCA: la prueba pericial en detalle

El régimen de la prueba pericial en lo contencioso-administrativo se construye sobre tres pilares normativos que debo conocer como perito y que el letrado debe manejar para maximizar la efectividad de mi informe.

Artículo 60 LJCA - Apertura y práctica de la prueba

El artículo 60 de la Ley 29/1998 establece que el tribunal puede acordar de oficio o a instancia de parte la práctica de cuantas pruebas estime pertinentes. En la práctica, la prueba pericial informática se propone en el escrito de demanda (recurso ordinario) o en el acto de la vista (procedimiento abreviado del art. 78).

Punto clave: A diferencia de civil, donde el perito de parte acompana su informe con la demanda (art. 336 LEC), en contencioso el informe puede presentarse en periodo de prueba. Esto da más tiempo para prepararlo, pero también implica que hay que solicitar expresamente su admision.

El artículo 60.1 LJCA dice textualmente: “Se podrá recibir el proceso a prueba cuando exista disconformidad en los hechos y estos fueran de trascendencia para la resolución del litigio”. Esto genera una peculiaridad: si el Abogado del Estado no discute los hechos sino la calificacion jurídica, el tribunal podría denegar la apertura del periodo de prueba. Por eso es fundamental que el escrito de demanda ponga de manifiesto la disconformidad factica con claridad. No basta con decir “discrepamos de la resolución”. Hay que decir “discrepamos de los hechos que la Administración ha dado por probados, en particular de que el cifrado fuera insuficiente, de que los logs demuestren acceso no autorizado, y de que la respuesta al incidente fuera tardia”.

El artículo 60.3 establece que “contra la denegacion o la inadmision de prueba solo cabra recurso de suplica”. En la práctica, la inadmision de la prueba pericial informática es infrecuente cuando se propone de forma motivada y concreta, pero puede ocurrir si el tribunal considera que la pericial es innecesaria porque los hechos estan suficientemente acreditados en el expediente administrativo. Por eso insisto siempre al letrado en que la proposición de prueba pericial debe incluir una justificacion de por que el expediente administrativo es insuficiente para acreditar los hechos técnicos relevantes.

Artículos 335-348 LEC - Aplicación supletoria

La LEC se aplica de forma supletoria para todo lo no regulado en la LJCA. Esto incluye:

Artículo 78 LJCA - Procedimiento abreviado

En el procedimiento abreviado (asuntos de cuantia inferior a 30.000 euros o determinadas materias), la prueba se propone y práctica en el acto de la vista. Esto requiere que el informe pericial este preparado antes de la vista y que el perito asista para ratificarlo. En mi experiencia, muchas sanciones de la AEPD de cuantia media, expedientes disciplinarios y recursos contra actos de administraciones locales se tramitan por esta via.

Consejo desde mi experiencia: En el procedimiento abreviado, todo se concentra en un solo acto. El abogado presenta la demanda oralmente, propone la prueba y el perito se ratifica en la misma vista. No hay margen para improvisar. Cuando trabajo en procedimientos abreviados, preparo el informe con un resumen ejecutivo de una página que el magistrado pueda asimilar durante la vista, además del informe técnico completo. Esa doble estructura es la que mejor resultado da en esta via procesal.

Otro aspecto práctico: en el abreviado, la prueba pericial se propone en el acto de la vista y el tribunal decide su admision en el mismo momento. Si el Abogado del Estado se opone, debo estar preparado para justificar verbalmente la necesidad y pertinencia de mi informe. He visto vistas donde la pericial se inadmitia porque ni el letrado ni el perito pudieron articular en ese momento por que era necesaria. Eso se evita con preparación conjunta previa.

Una particularidad del procedimiento abreviado que pocos peritos conocen: el artículo 78.3 LJCA permite al magistrado, una vez celebrada la vista, requerir que se complete la prueba si considera que la practicada es insuficiente. Esto significa que incluso si la ratificación no fue todo lo clara que debería, el magistrado puede solicitar aclaraciones escritas al perito. He utilizado esta posibilidad en varias ocasiones para ampliar puntos que no quedaron suficientemente claros durante la vista oral.

Tambien es relevante que en el procedimiento abreviado, si la cuantia no excede de 30.000 euros, la sentencia no es recurrible en apelacion (art. 81.1 LJCA). Esto significa que la decisión del magistrado de instancia es definitiva, lo que eleva la importancia de que el informe pericial sea impecable en primera y única instancia. No hay segunda oportunidad.

Artículo 61.1 LJCA - La ampliacion del expediente

Este es el precepto más infrautilizado en el contencioso-administrativo con componente tecnologico. El artículo 61.1 LJCA permite solicitar que el tribunal requiera a la Administración la remision de elementos adicionales del expediente que se consideren necesarios.

En la práctica, esto me permite como perito solicitar al letrado que pida la ampliacion del expediente incluyendo:

• Logs completos del sistema con sus metadatos originales (no exportaciones a PDF)
• Documentación de la herramienta utilizada por la inspeccion (versión, configuración, parametros)
• Informes técnicos internos que la Administración no incluyo en el expediente
• Politicas internas de seguridad del organismo para verificar si el organismo cumple sus propios estandares
• Registros de calibracion de equipos de medicion (en casos de sensores o equipos de monitorizacion)

La ampliacion del expediente es especialmente útil porque me permite acceder a información técnica que de otra forma sería inalcanzable. La Administración no puede negarse si el tribunal la ordena.

Ejemplo práctico de solicitud de ampliacion del expediente

Para ilustrar como funciona la ampliacion del expediente en la práctica, este es el tipo de peticion que preparo conjuntamente con el letrado:

“Se solicita al tribunal que, conforme al artículo 61.1 LJCA, requiera a la Administración demandada la remision de los siguientes elementos no incluidos en el expediente:

a) Los logs del sistema [nombre del sistema] correspondientes al periodo [fecha inicio] a [fecha fin], en formato original (no exportaciones a PDF ni Excel), incluyendo todos los campos registrados por el sistema y sus metadatos asociados.

b) La documentación técnica de la herramienta [nombre] utilizada por la inspeccion, incluyendo versión, configuración aplicada, parametros de escaneo y politica de actualizacion.

c) El informe técnico interno del departamento de TI del organismo relativo a [incidente/sistema], que consta referenciado en el folio [X] del expediente pero no se ha incluido.

d) Los registros de calibracion del equipo [modelo] utilizado para la medicion, correspondientes a los últimos 24 meses.

e) Las politicas internas de seguridad del organismo vigentes en la fecha de los hechos, para verificar si el propio organismo cumple los estandares que exige al administrado.”

Esta solicitud, redactada con precision técnica, tiene una tasa de admision muy alta porque el tribunal entiende que los documentos solicitados son relevantes y que su ausencia impide una valoración técnica completa.

Tabla resumen: marco legal de la prueba pericial en contencioso

Cinco casos prácticos detallados

Los siguientes casos prácticos estan basados en patrones reales de mi experiencia profesional. Los datos específicos han sido modificados para preservar la confidencialidad.

Los cinco casos que presento a continuacion ilustran los patrones más frecuentes de mi trabajo en esta jurisdicción. Cada uno representa un tipo de caso diferente y muestra como el informe pericial informático puede cambiar el resultado del recurso. Los he seleccionado porque cubren los escenarios que con más frecuencia llegan a mi despacho y porque permiten entender las dinamicas reales de un recurso contencioso-administrativo con componente tecnologico.

Caso 1: recurso contra sanción AEPD por brecha de datos

Contexto: Una empresa tecnologica recibio una sanción de la AEPD de 150.000 euros por una brecha de datos que afecto a 12.000 registros de clientes. La AEPD concluyo que la empresa no habia implementado “medidas técnicas adecuadas” conforme al artículo 32 del RGPD.

Lo que encontre en mi análisis pericial:

1. La empresa tenia cifrado AES-256 en reposo y TLS 1.3 en transito. El informe de la AEPD mencionaba “cifrado insuficiente” pero no especificaba que algoritmo o configuración era inadecuada.

2. El vector de ataque fue spear phishing a un empleado, no una vulnerabilidad técnica. La empresa tenia formación en ciberseguridad documentada, MFA activo y politicas de contraseñas robustas. Ninguna medida técnica razonable habría evitado que un empleado hiciera clic en un enlace dirigido específicamente a el.

3. Los logs de la AEPD estaban incompletos. Solo analizaron los logs del servidor web, ignorando los del WAF, el SIEM y el EDR que demostraban que la detección se produjo en menos de 4 horas y la contencion en menos de 8.

4. La notificación a la AEPD se hizo en 47 horas, dentro del plazo de 72 horas del artículo 33 RGPD. El expediente sancionador valoraba negativamente el “retraso” sin considerar que la empresa cumplio el plazo legal.

Mi informe pericial incluyo:

• Análisis completo de la arquitectura de seguridad de la empresa con evidencia de cumplimiento de cada control del artículo 32 RGPD
• Comparativa entre las medidas implementadas y las recomendadas por el ENS y la guía de seguridad de la AEPD
• Timeline forense del incidente demostrando detección en menos de 4 horas (por debajo del benchmark del sector que es 197 días según IBM Cost of a Data Breach 2025)
• Análisis del vector de ataque (spear phishing) con evidencia de que la empresa tenia formación, MFA y controles compensatorios activos
• Critica técnica del informe de inspeccion de la AEPD, identificando 4 conclusiones sin soporte técnico

Resultado: El Juzgado de lo Contencioso estimo parcialmente el recurso, reduciendo la sanción un 70% al considerar que la empresa habia actuado con diligencia y que el informe pericial demostraba que las medidas técnicas eran adecuadas al riesgo. La brecha se produjo por un factor humaño frente al cual no existe protección técnica absoluta.

Leccion clave: En las sanciones de la AEPD, la defensa no se basa en demostrar que la empresa era perfecta, sino en que actuaba con diligencia proporcional al riesgo. El RGPD no exige seguridad absoluta (que no existe); exige medidas “apropiadas” al nivel de riesgo. Mi informe pericial cuantifica el riesgo real, documenta las medidas implementadas y demuestra que la proporción entre ambos era razonable. Eso es lo que el tribunal necesita para apartarse de la valoración de la AEPD. Ademas, es fundamental analizar no solo lo que la empresa tenia, sino lo que la AEPD no analizo: los controles compensatorios, las capas de defensa adicionales y los tiempos de respuesta al incidente, que muchas veces demuestran una madurez en ciberseguridad que el informe de inspeccion ignora.

Caso 2: disputa fiscal con la AEAT por discrepancias en el SII

Contexto: Una empresa de comercio electrónico recibio una liquidacion complementaria de 87.000 euros tras una comprobacion limitada de la AEAT. El motivo: discrepancias entre los datos del SII y las declaraciones trimestrales de IVA. La AEAT detectaba un diferencial de 340.000 euros en ventas no declaradas.

Lo que encontre en mi análisis:

La empresa utilizaba un ERP que transmitia automáticamente los registros de facturacion al SII. Analice los logs de transmisión y descubri que un error en la API del conector del ERP provocaba que determinadas facturas rectificativas se transmitieran como facturas ordinarias nuevas, duplicando el importe reportado al SII. El error afectaba a las facturas con tipo “R1” (rectificacion por error fundado en derecho) emitidas entre dos fechas concretas en las que el proveedor del ERP desplego una actualizacion defectuosa.

Mi informe pericial incluyo: los logs de transmisión al SII con las duplicidades identificadas una por una, la documentación técnica del bug del conector (confirmada por el proveedor del ERP en un email que la empresa conservaba), una reconstruccion del importe real transmitido eliminando duplicidades, y la comparación entre el importe corregido y las declaraciones trimestrales presentadas, que coincidian.

Mi informe pericial incluyo:

• Volcado completo de los logs de transmisión al SII del periodo afectado, con hashes SHA-256 de cada archivo
• Análisis del código del conector ERP-SII que contenia el bug (el proveedor autorizo la revision del código fuente por parte del perito)
• Tabla de conciliacion linea por linea entre las facturas reales, las facturas transmitidas al SII y las declaraciones trimestrales
• Informe técnico del proveedor del ERP confirmando el bug y la fecha de correccion
• Captura del changelog del software que documentaba la actualizacion defectuosa y su posterior parche

Resultado: El TEAR estimo la reclamación en via económico-administrativa, anulando la liquidacion complementaria antes de llegar al contencioso. El informe pericial fue la pieza clave porque demostro con evidencia técnica que la discrepancia era un error del sistema, no una ocultacion de ingresos. Este caso ilustra algo que veo frecuentemente: con un informe pericial solido en via administrativa, muchos casos se resuelven sin necesidad de llegar al contencioso, ahorrando tiempo y costes al contribuyente.

Caso 3: ayuntamiento y camaras de vigilancia ilegales

Contexto: Una asociación de vecinos impugnaba la instalación de 24 camaras de videovigilancia por parte de un ayuntamiento de más de 50.000 habitantes. El ayuntamiento argumentaba que las camaras eran necesarias para la seguridad ciudadana y que se habia realizado una evaluación de impacto en protección de datos.

Lo que encontre en mi análisis:

Solicite y obtuve las especificaciones técnicas del sistema de videovigilancia a traves de la ampliacion del expediente administrativo. El sistema incluia camaras con resolución 4K, zoom optico 30x y capacidad de reconocimiento facial. La evaluación de impacto del ayuntamiento (EIPD) mencionaba genericamente “medidas de minimizacion de datos” pero no especificaba cuales.

Mi análisis revelo que: (a) las camaras estaban configuradas con la funcionalidad de reconocimiento facial activa, lo que implica tratamiento de datos biometricos del artículo 9 RGPD sin base jurídica suficiente; (b) el angulo de vision de 8 camaras abarcaba interiores de viviendas, excediendo la finalidad de seguridad en espacio público; (c) las grabaciones se almacenaban durante 90 días, triplicando el máximo de 30 días de la Instrucción 1/2006 de la AEPD; (d) no existia contrato de encargado de tratamiento con la empresa de seguridad que gestionaba el sistema; y (e) el sistema transmitia las imagenes a un servidor cloud fuera de la UE sin las garantías del capitulo V del RGPD para transferencias internacionales de datos.

Mi informe pericial incluyo:

• Análisis técnico de las especificaciones de cada modelo de camara, identificando las que tenian capacidad de reconocimiento facial activa
• Medicion de los angulos de vision de las 24 camaras mediante software de modelado 3D, demostrando que 8 camaras captaban interiores de viviendas
• Revision de la EIPD del ayuntamiento, identificando 7 deficiencias técnicas (ausencia de análisis de proporcionalidad, falta de medidas de minimizacion concretas, no mencion del tratamiento de datos biometricos, entre otras)
• Comparativa con las directrices del Comite Europeo de Protección de Datos (EDPB) sobre videovigilancia
• Diagrama técnico de la arquitectura del sistema mostrando el flujo de datos desde las camaras hasta el centro de control y el servidor de almacenamiento

Resultado: El juzgado estimo el recurso y ordeno la desactivacion del reconocimiento facial, la reorientacion de las 8 camaras que captaban interiores de viviendas, la reduccion del periodo de almacenamiento a 30 días y la formalizacion del contrato de encargado de tratamiento. La sentencia cito extensamente el informe pericial como base para sus conclusiones técnicas.

Caso 4: expediente disciplinario a empleado público por acceso a datos

Contexto: Un funcionario de un organismo autonomico fue sancionado con suspension de empleo y sueldo de 3 meses por “acceso no autorizado a datos personales de terceros” en el sistema de gestión del organismo. La prueba eran logs de acceso que supuestamente demostraban que el funcionario habia consultado 47 expedientes de personas sin relación con sus funciones.

Lo que encontre en mi análisis:

Los logs proporcionados en el expediente disciplinario eran una tabla Excel con cuatro columnas: fecha, hora, usuario y número de expediente. No habia metadatos del sistema, ni firma digital, ni evidencia de la cadena de custodía desde la extracción del log hasta su incorporación al expediente.

Solicite a traves del letrado la ampliacion del expediente con los logs originales del sistema. Los logs originales revelaron que: (a) 31 de los 47 accesos se produjeron durante una migracion de datos en la que el perfil del funcionario tenia temporalmente acceso ampliado por decisión del departamento de TI (no del funcionario); (b) 9 de los accesos restantes correspondian a expedientes de personas que si tenian relación con funciones asignadas al funcionario en un periodo anterior a un cambio organizativo; (c) solo 7 accesos no tenian justificacion aparente, y de esos 7, 4 correspondian a una sola sesion de 3 minutos que sugeria navegación accidental por la interfaz del sistema (que mostraba expedientes en orden secuencial y se avanzaba con un clic).

Resultado: El tribunal anulo la sanción de suspension y la sustituyo por amonestacion escrita por los 7 accesos no justificados, reconociendo que el expediente disciplinario habia sobredimensionado la conducta al incluir accesos que tenian justificacion técnica o funcional. El informe pericial fue determinante para reducir de 47 a 7 los accesos cuestionables.

Leccion clave: Los expedientes disciplinarios basados en logs de acceso son especialmente vulnerables a la pericia informática porque los sistemás de logging de las administraciones públicas rara vez cumplen estandares mínimos de integridad y completitud. La clave es no aceptar los datos del expediente al pie de la letra, sino ir a la fuente original y verificar que los datos son completos, contextualizados y correctamente interpretados. He encontrado que en la mayoria de expedientes disciplinarios que he analizado, el número de accesos realmente cuestionables se reduce entre un 60% y un 85% cuando se aplica un análisis técnico riguroso. Eso no significa que el funcionario sea siempre inocente, pero si que la magnitud de la infracción suele estar sobredimensionada.

Caso 5: recurso contra adjudicacion de contrato de desarrollo de software

Contexto: Una empresa de desarrollo de software recurrio la adjudicacion de un contrato público de 420.000 euros para el desarrollo de una plataforma de sede electrónica. La empresa recurrente obtuvo 65 puntos en valoración técnica frente a los 82 de la adjudicataria. La diferencia se concentraba en dos criterios: “escalabilidad de la solución” y “cumplimiento ENS nivel medio”.

Lo que encontre en mi análisis:

La memoria técnica de la empresa adjudicataria, accesible a traves del expediente de contratación, describia una arquitectura basada en un servidor único con base de datos monolitica. La empresa adjudicataria recibia máxima puntuacion en “escalabilidad” por mencionar que el servidor podía “ampliar recursos de CPU y RAM”. Eso es escalabilidad vertical, no horizontal, y tiene un limite físico. La solución del recurrente proponia arquitectura de microservicios con contenedores orquestados por Kubernetes, que permite escalabilidad horizontal real.

En cuanto al ENS nivel medio, la empresa adjudicataria presentaba una declaración de conformidad firmada por su propio director técnico, sin auditoria de tercero ni evidencia de cumplimiento de los controles del Anexo II del Real Decreto 311/2022. El recurrente presentaba certificación de cumplimiento ENS emitida por una entidad acreditada por ENAC.

Mi informe pericial detallo: la diferencia técnica entre escalabilidad vertical y horizontal con diagramás comparativos, los riesgos concretos de una arquitectura monolitica para una sede electrónica con picos de demanda previsibles (periodos de matriculacion, plazos administrativos, convocatorias de ayudas), la insuficiencia jurídica y técnica de una autodeclaracion de ENS sin auditoria de tercero independiente, y la superioridad técnica objetiva de la solución del recurrente en los dos criterios donde la mesa de contratación le puntuo por debajo. Incluyo una simulación de carga que demostraba que la solución del adjudicatario colapsaria con más de 200 usuarios concurrentes, mientras que la del recurrente soportaba más de 2.000 sin degradacion.

Resultado: El tribunal estimo el recurso y anulo la adjudicacion, ordenando una nueva valoración técnica por parte de la mesa de contratación con motivación reforzada. La nueva valoración, con un vocal técnico adicional, adjudico el contrato al recurrente.

Leccion clave: Los recursos contra adjudicaciones de contratos tecnologicos son los que más experiencia real en tecnología exigen al perito. No basta con ser “perito informático”: hay que haber trabajado con las tecnologías que se valoran en el pliego. Cuando un perito que nunca ha desplegado un cluster de Kubernetes intenta valorar si una arquitectura de microservicios es adecuada, se nota. Los magistrados, aunque no sean técnicos, perciben cuando el perito domina la materia y cuando esta recitando definiciones de Wikipedia. Mi experiencia como ex-CTO que ha diseñado y operado arquitecturas cloud en producción me permite hablar de estos temás con la autoridad que da la experiencia directa, no la lectura de manuales.

Hay un detalle procesal específico de los recursos contra adjudicaciones que merece mencion: el plazo de interposicion es de solo 15 días hábiles desde la notificación de la adjudicacion (para los contratos sujetos a regulación armonizada) o de 2 meses (para el resto). Esto significa que el abogado y el perito deben actuar con extrema rapidez. En mi experiencia, preparo un informe preliminar en 3-5 días para que el letrado pueda fundamentar el recurso, y lo complemento con un informe completo durante el procedimiento. La velocidad de reacción es crítica en licitaciones.

Patrones comunes en los cinco casos

Revisando estos cinco casos, identifico patrones que se repiten sistematicamente:

1. La Administración confunde sus datos con la realidad. En los cinco casos, el organismo público presento datos extraidos de sus propios sistemás como hechos incontestables, sin considerar que esos datos podian ser incompletos, erroneamente procesados o mal interpretados.

2. La clave esta en el detalle técnico. Ninguno de estos casos se gaño con argumentos genericos. Se ganaron con análisis técnico granular: una configuración de cifrado concreta, un log de transmisión específico, un angulo de camara medido en grados, un perfil de acceso temporal, una autodeclaracion de ENS sin auditoria. El diablo esta en los detalles, y el perito informático es quien los extrae y los explica.

3. La ampliacion del expediente es determinante. En tres de los cinco casos, la información clave para el informe pericial se obtuvo a traves de la ampliacion del expediente administrativo (art. 61.1 LJCA). Sin esa documentación adicional, el informe habría tenido menos fundamento.

4. La colaboración temprana perito-letrado multiplica el resultado. Los mejores resultados se obtuvieron cuando el abogado me involucro antes de interponer el recurso contencioso. Eso permitio preparar el informe con tiempo, solicitar la documentación correcta y disenar una estrategia procesal coherente entre la argumentacion jurídica y la argumentacion técnica.

5. El tribunal valora la claridad expositiva tanto como la solidez técnica. Un informe tecnicamente impecable pero incomprensible para un magistrado es un informe inutil. Mis informes incluyen siempre un resumen ejecutivo de una página, diagramás explicativos y una seccion de conclusiones que conecta cada hallazgo técnico con la norma jurídica aplicable.

6. El perito debe estar preparado para ratificarse bajo presion. En los cinco casos, la ratificación en vista fue un momento decisivo. El Abogado del Estado o el letrado de la Administración intentaron desestabilizar mis conclusiones con preguntas técnicas formuladas de forma confusa, con escenarios hipoteticos diseñados para generar contradiccion y con cuestionamientos sobre mi cualificacion. La preparación previa con el letrado y la experiencia acumulada en ratificaciones fueron tan importantes como la calidad técnica del informe.

7. La cuantificacion del daño o del error es más persuasiva que la descripcion generica. En todos los casos, las partes del informe que más impacto tuvieron en la sentencia fueron las que cuantificaban: “31 de 47 accesos corresponden a la migracion de datos”, “el 80% de las particulas proceden del trafico, no de la fabrica”, “la discrepancia de 340.000 euros se debe a 127 facturas rectificativas duplicadas”. Los números concretos son más dificiles de rebatir que las opiniones generales.

Nota: Todos los casos prácticos son reconstrucciones basadas en patrones comunes de mi experiencia profesional. Los datos específicos han sido modificados para preservar la confidencialidad.

Como trabajar con un perito informático en contencioso-administrativo: guía para abogados

Despues de colaborar con decenas de letrados en esta jurisdicción, estos son los errores que veo con más frecuencia y como evitarlos. La relación perito-abogado en contencioso-administrativo es diferente a la de otras jurisdicciones porque aquí estamos luchando juntos contra la Administración, no contra otra parte privada. Eso exige una coordinacion más estrecha, una comunicación más fluida y una estrategia procesal unificada desde el primer momento.

El error más grave que veo es tratar al perito como un proveedor que entrega un documento, en lugar de como un colaborador estrategico del caso. Los mejores resultados los obtengo cuando el abogado me trata como parte del equipo de defensa, me incluye en las reuniones con el cliente, me consulta antes de tomar decisiones procesales con implicaciones técnicas y me da acceso directo a toda la documentación del caso. Esa integracion es lo que permite que el informe pericial no sea un documento aislado, sino una pieza que encaja perfectamente en la estrategia jurídica global del recurso.

Antes de interponer el recurso

Durante la elaboración del informe

En la ratificación y vista

Si eres abogado y necesitas asesoramiento técnico para un recurso contencioso-administrativo, consulta mi servicio especializado para abogados con protocolo de colaboración adaptado a esta jurisdicción.

Estructura del informe pericial para contencioso-administrativo

Mi informe pericial para contencioso-administrativo sigue una estructura específica, distinta de la que utilizo en civil o penal, adaptada a las particularidades de esta jurisdicción:

La seccion 6 (análisis crítico del expediente) es la más importante y la que distingue mi informe en contencioso de un informe generico. No me limito a presentar mi versión: analizo y rebato la versión de la Administración con rigor técnico. Cada afirmacion del informe del inspector que cuestiono va acompanada de la evidencia técnica que la desmiente y de una explicación comprensible de por que la conclusión del inspector es incorrecta.

Tarifas orientativas para peritaje informático en contencioso-administrativo

La transparencia en precios es un principio fundamental de mi práctica profesional. Estas son las tarifas orientativas para los tipos de caso más habituales en contencioso-administrativo. El presupuesto definitivo se calcula tras una consulta inicial gratuita donde valoro la complejidad técnica del asunto.

Notas importantes sobre tarifas:

• Los precios incluyen el informe pericial completo y una ratificación presencial en la vista oral. Si se requiere segunda ratificación (por ejemplo, en apelacion), tiene coste adicional.
• El desplazamiento a juzgados fuera de Jaen se factura aparte a precio de coste (kilometraje + dieta si es necesario pernoctar). Para juzgados de Madrid, Barcelona y otras ciudades principales donde litigo con frecuencia, el coste de desplazamiento esta optimizado.
• Si el recurso se estima con costas, el coste del informe pericial se incluye en la tasacion de costas como gasto necesario para la defensa. Es decir, la Administración acaba pagando el informe pericial que demostro que su actuación fue incorrecta. He visto tasaciones de costas donde se incluyo integramente el coste del informe pericial informático sin objecion.
• La consulta inicial es gratuita y sin compromiso. En esa consulta valoro la viabilidad técnica del recurso y proporciono un presupuesto cerrado.

Que incluye cada presupuesto

Para que no haya sorpresas, este es el desglose típico de lo que incluye un presupuesto de informe pericial para contencioso-administrativo:

Formás de pago y facturacion

Facturo con IVA al 21%. El pago se divide normalmente en dos tramos: 50% al inicio del trabajo (tras la reunion inicial y aceptación del presupuesto) y 50% a la entrega del informe. La ratificación en vista no tiene pago adicional si esta incluida en el presupuesto inicial. Emito factura en cada tramo.

Para despachos de abogados con los que colaboro de forma recurrente, ofrezco condiciones de facturacion adaptadas (pago a 30 días, descuento por volumen, tarifa plana para consultas técnicas puntuales fuera de procedimiento).

Puedes consultar más detalles en la página de informes periciales o solicitar un presupuesto a traves del servicio para abogados.

Preguntas frecuentes

Puede la Administración rechazar mi informe pericial?

La Administración no puede “rechazar” un informe pericial admitido por el tribunal. Lo que si puede hacer es presentar su propio contrainforme o cuestionar la cualificacion del perito, la metodología utilizada o las conclusiones. En la práctica, el Abogado del Estado o el letrado del organismo formulara preguntas durante la ratificación intentando debilitar el informe.

Las lineas de impugnación más habituales que he enfrentado son: cuestionar que el perito no es funcionario del cuerpo técnico correspondiente (irrelevante legalmente), alegar que la metodología no sigue un estandar concreto (cuando mi informe sigue ISO 27037 y el del organismo no sigue ninguno), o argumentar que las conclusiones son “opiniones” y no “hechos probados” (cuando la prueba pericial es precisamente una opinion técnica cualificada). Por eso es fundamental que el perito domine no solo la técnica, sino también la dialectica procesal. Como perito judicial informático, preparo cada ratificación anticipando estas lineas de ataque.

Cuanto cuesta un informe pericial para contencioso-administrativo?

El coste depende de la complejidad técnica del asunto. Un informe para un expediente disciplinario basado en logs de acceso puede costar desde 800 euros. Un informe para impugnar una sanción AEPD donde hay que revisar la infraestructura de seguridad, los logs del incidente y la respuesta de la empresa oscila entre 1.200 y 3.000 euros. Un informe sobre licitaciones complejas o auditorias ENS puede alcanzar los 4.500 euros. La ratificación en vista esta incluida en todos los presupuestos. Puedes consultar la tabla de tarifas más arriba, los precios detallados de informes periciales o solicitar un presupuesto cerrado a traves del servicio para abogados. La consulta inicial para valorar la viabilidad técnica del caso es siempre gratuita.

Merece la pena recurrir una sanción administrativa con perito informático?

Depende de la cuantia y de la solidez técnica del expediente sancionador. Si la sanción supera los 10.000 euros y hay argumentos técnicos que la Administración no valoro correctamente, la respuesta suele ser si. El coste del informe pericial más las costas del abogado y procurador se recuperan si el recurso se estima, y en cualquier caso representan una fraccion de la sanción. En sanciones AEPD de 50.000 euros o mas, he visto reducciones del 50-80% cuando el informe pericial demostraba diligencia técnica. La clave es actuar rápido: el plazo para interponer recurso contencioso-administrativo es de 2 meses desde la notificación del acto (art. 46 LJCA). Y no solo se trata de la sanción en si: una sanción de la AEPD conlleva publicacion en la página web de la Agencia, lo que puede danar la reputacion de la empresa. Impugnar la sanción con un informe pericial que demuestre diligencia técnica puede ser tan importante por el resultado económico como por el mensaje reputacional: la empresa no fue negligente, y tiene un informe pericial que lo demuestra.

Que plazos tengo para presentar el informe pericial?

En el procedimiento ordinario, la prueba se propone en el escrito de demanda y se práctica en el periodo de prueba, que suele ser de 15 a 30 días. En el procedimiento abreviado (art. 78 LJCA), la prueba se propone y práctica en el acto de la vista, lo que significa que el informe debe estar terminado antes de la vista y el perito debe asistir presencialmente. Mi recomendación es contactar al perito lo antes posible, idealmente antes de interponer el recurso, para que el informe este listo con margen.

Puede el tribunal nombrar un perito informático de oficio?

Si, el artículo 60.1 LJCA permite al tribunal acordar de oficio la práctica de pruebas que estime pertinentes. En la práctica, es infrecuente que el tribunal nombre un perito informático de oficio en contencioso. Lo habitual es que el perito sea de parte. Si el tribunal tiene dudas sobre el informe de parte, puede solicitar aclaraciones al propio perito (art. 346 LEC supletorio) o, en casos excepcionales, designar un perito judicial.

Que pasa si la Administración aporta su propio contrainforme?

Es una situación cada vez más habitual. La Administración, a traves de sus servicios técnicos o de un perito contratado, presenta un contrainforme que rebate las conclusiones del informe de parte. En esos casos, el tribunal debe valorar ambos informes conforme a las reglas de la sana crítica (art. 348 LEC). La solidez metodologica, la coherencia interna, la fundamentacion técnica y la claridad expositiva determinan cual de los dos informes resulta más convincente. En mi experiencia, los contrainformes de la Administración suelen ser genericos y no abordan los puntos concretos que mi informe cuestiona, lo que les resta efectividad.

Como acredito mi cualificacion como perito informático ante el tribunal?

En el contencioso-administrativo, la cualificacion del perito se acredita mediante el curriculum vitae que se adjunta al informe pericial. No existe un registro oficial de peritos informáticos al que haya que pertenecer obligatoriamente. Mi cualificacion se basa en mi experiencia profesional como ex-CTO, mis 5 certificaciones AWS, mi formación en análisis forense digital con metodología ISO 27037 y mi experiencia previa como perito en procedimientos judiciales. El tribunal valora la cualificacion como parte de su valoración global de la prueba pericial.

Puedo aportar el informe pericial si ya estoy en fase de conclusiones?

En principio, no. La prueba debe proponerse y practicarse en el momento procesal oportuno: en el escrito de demanda o contestación (ordinario) o en el acto de la vista (abreviado). Si la fase de prueba ha pasado, aportar un informe pericial extemporaneo será muy probablemente inadmitido. De ahi la importancia de involucrar al perito desde el principio y no dejarlo para el final.

En que tribunales se ratifica el perito en contencioso-administrativo?

Depende del tipo de acto impugnado. Los Juzgados de lo Contencioso-Administrativo (unipersonales) conocen de actos de administraciones locales y autonomicas de cuantia inferior a determinados umbrales. Las Salas de lo Contencioso-Administrativo de los Tribunales Superiores de Justicia conocen de actos de las Comunidades Autonomas. La Audiencia Nacional conoce de actos de organismos estatales como la AEPD, la AEAT o la CNMC. Y el Tribunal Supremo conoce de casaciones. Me he ratificado en juzgados unipersonales, en Salas de TSJ y en la Audiencia Nacional. El procedimiento de ratificación es esencialmente el mismo en todos.

El informe pericial informático es vinculante para el juez?

No. El artículo 348 LEC, aplicable supletoriamente, establece que el tribunal valorara la prueba pericial conforme a las reglas de la sana crítica. Esto significa que el juez no esta obligado a aceptar las conclusiones del perito, pero si decide apartarse de ellas, debe motivar por que en la sentencia. En la práctica, cuando el informe pericial es solido, esta bien fundamentado y se ha ratificado correctamente, los tribunales lo siguen en una proporción muy alta de casos. La clave es que el juez necesita un motivo para apartarse del dictamen pericial: si el informe es coherente, esta bien fundamentado y no ha sido eficazmente contradicho por la parte contraria, el tribunal no tiene razón para ignorarlo.

La jurisprudencia del Tribunal Supremo ha establecido que para apartarse de un dictamen pericial sin que exista otro contradictorio, el tribunal debe explicar que elementos del informe resultan insuficientes, incoherentes o no fiables. Si la sentencia simplemente ignora el informe sin motivación, eso puede ser motivo de recurso por vulneración del derecho a la tutela judicial efectiva (art. 24 CE). En mi experiencia, los tribunales de lo contencioso-administrativo tratan los informes periciales informáticos con respeto cuando estan bien elaborados, precisamente porque reconocen que carecen de los conocimientos técnicos para evaluarlos criticamente por si mismos y necesitan del perito para entender la realidad técnica del caso.

Que diferencia hay entre un informe pericial de parte y uno de designación judicial?

El informe pericial de parte es encargado y pagado por una de las partes del proceso. El de designación judicial es encargado por el tribunal a un perito seleccionado de una lista oficial. En contencioso-administrativo, la inmensa mayoria de los informes periciales informáticos son de parte, porque el tribunal rara vez designa peritos de oficio en esta jurisdicción. Ambos tipos de informe tienen el mismo valor probatorio y se valoran conforme a las reglas de la sana crítica. La diferencia práctica es que el perito de parte puede coordinarse con el letrado para enfocar el informe en las cuestiones procesalmente relevantes, mientras que el perito de designación judicial trabaja de forma independiente y su informe puede no abordar los puntos que más interesan a ninguna de las partes.

Puedo recurrir en casacion si el tribunal no valora correctamente el informe pericial?

El recurso de casacion ante el Tribunal Supremo (art. 86 LJCA) no es una segunda instancia: no permite una nueva valoración de la prueba. Sin embargo, si el tribunal de instancia ignoro completamente el informe pericial sin motivar por que, o si valoro la prueba de forma arbitraria o irrazonable, eso puede constituir una infracción del derecho a la tutela judicial efectiva (art. 24 CE) que si es revisable en casacion. He participado como perito en fase de casacion aportando informes complementarios cuando el Tribunal Supremo considero que la valoración de la prueba en instancia era insuficiente.

El perito informático puede acceder a los sistemás de la Administración?

No directamente ni por derecho propio. El acceso a los sistemás de la Administración requiere autorización judicial. En la práctica, lo que hago es solicitar al letrado que proponga como diligencia de prueba el acceso del perito a los sistemás relevantes, o alternativamente, que se requiera a la Administración la aportacion de documentación técnica específica (logs, configuraciones, volcados de base de datos) a traves de la ampliacion del expediente. En mi experiencia, la segunda via es más efectiva y menos conflictiva: la Administración se resiste menos a aportar documentos que a permitir acceso a un perito externo a sus sistemas.

Cuanto tiempo se tarda en preparar un informe pericial para contencioso-administrativo?

Depende de la complejidad del caso y de la disponibilidad de la documentación:

Siempre comunico al letrado un plazo realista en la reunion inicial y me comprometo a cumplirlo. Los plazos procesales no esperan. Si hay urgencia (por ejemplo, recurso contra adjudicacion con plazo de 15 días hábiles), puedo priorizar y entregar un informe preliminar en 3-5 días, que se complementa durante el procedimiento con el informe completo.

El informe pericial en la via administrativa previa: una oportunidad infrautilizada

Antes de llegar al contencioso-administrativo, la mayoria de los actos administrativos pueden impugnarse en via administrativa a traves de recursos de alzada o reposicion. Este es un momento procesal que muchos abogados y peritos desaprovechan, y que en mi experiencia puede ser decisivo.

Por que presentar un informe pericial antes del contencioso

Hay tres razones estrategicas para aportar un informe pericial ya en la via administrativa:

Primera: puede resolver el caso sin litigar. Si el informe pericial demuestra de forma contundente que las conclusiones técnicas de la Administración son erroneas, el orgaño que resuelve el recurso administrativo puede estimar el recurso. Esto ahorra meses o años de litigio contencioso y reduce drasticamente los costes para el cliente. En mi experiencia, aproximadamente 1 de cada 5 casos con informe pericial en via administrativa se resuelve sin necesidad de llegar al contencioso.

Segunda: condiciona el expediente. El informe pericial presentado en via administrativa se incorpora al expediente y el tribunal de lo contencioso lo tendrá a su disposicion. Si la Administración desestima el recurso administrativo sin rebatir las conclusiones del informe pericial, eso debilita su posición en el contencioso posterior: el tribunal vera que la Administración ignoro un informe técnico fundado sin ofrecer argumentos técnicos en contra.

Tercera: permite identificar debilidades tempranas. El proceso de elaborar el informe pericial en via administrativa obliga a analizar el expediente en profundidad antes de llegar al contencioso. Si el caso tiene debilidades técnicas, las descubrimos pronto y podemos decidir si merece la pena litigar o si es más eficiente negociar una reduccion de la sanción.

Que incluye el informe pericial para via administrativa

El informe para via administrativa es más breve que el judicial (normalmente 10-15 páginas frente a 20-60 del judicial) y se centra en los puntos clave que pueden convencer al orgaño resolutorio sin necesidad de una ratificación oral. Incluye:

• Identificación del perito y sus cualificaciones
• Análisis crítico de las conclusiones técnicas del acto impugnado
• Evidencia técnica que contradice o matiza esas conclusiones
• Propuesta de resolución alternativa fundamentada tecnicamente

El coste de este informe es significativamente menor que el del informe judicial completo (normalmente un 40-60% del coste total), y si el caso se resuelve en via administrativa, el ahorro neto es muy considerable.

Caso real: sanción AEPD resuelta en via administrativa con informe pericial

Un ejemplo concreto: una clinica dental recibio una sanción de la AEPD de 25.000 euros por una brecha de datos en su sistema de gestión de pacientes. La AEPD concluia que la clinica “no tenia medidas de seguridad adecuadas”. El abogado me contacto durante el plazo de recurso de reposicion (1 mes). Elabore un informe pericial de 12 páginas donde demostraba que la clinica tenia cifrado, control de acceso basado en roles, copias de seguridad diarias, y que la brecha se debio a un ataque de phishing sofisticado contra el proveedor de software (no contra la clinica). La AEPD estimo el recurso de reposicion y anulo la sanción. Total gastado por la clinica: el coste de mi informe preliminar. Total ahorrado: 25.000 euros de sanción más los costes de un recurso contencioso-administrativo que habría durado 12-18 meses.

Este tipo de resultado no se obtiene siempre, pero cuando se obtiene, la relación coste-beneficio del informe pericial en via administrativa es extraordinaria.

Hay otro beneficio estrategico de presentar informe pericial en via administrativa: si la Administración desestima el recurso sin rebatir las conclusiones técnicas del informe, esa falta de contradiccion queda documentada en el expediente. Cuando el caso llega al contencioso, el tribunal constata que la Administración tuvo la oportunidad de rebatir un informe técnico fundado y no lo hizo. Eso refuerza el valor probatorio del informe en el procedimiento judicial posterior.

Errores que arruinan un recurso contencioso-administrativo con componente tecnologico

Despues de haber visto cientos de expedientes y recursos, he identificado los errores que con más frecuencia condenan al fracaso un recurso contencioso-administrativo con componente tecnologico. Los comparto porque son evitables:

1. Recurrir sin perito cuando el caso es técnico

Es el error más básico y el más frecuente. Muchos abogados creen que los argumentos jurídicos son suficientes para impugnar una sanción de la AEPD o un acto de Hacienda basado en datos digitales. No lo son. Si la Administración basa su actuación en un informe técnico y tu solo ofreces argumentos jurídicos, el tribunal no tiene con que cuestionar las conclusiones técnicas del expediente. La presuncion de veracidad hace el resto.

He revisado sentencias desestimatorias donde el abogado tenia buenos argumentos jurídicos pero el tribunal senalaba expresamente que “no se ha desvirtuado la prueba técnica obrante en el expediente”. Si el expediente contiene un informe técnico, solo otro informe técnico puede cuestionarlo. Un escrito de demanda bien redactado no sustituye a un informe pericial.

2. Contratar al perito demasiado tarde

El segundo error más frecuente. El abogado interpone el recurso, presenta la demanda, propone la prueba pericial y entonces me llama. Para cuando me contacta, el plazo de prueba ya esta corriendo y tengo que preparar el informe en días en lugar de semanas. El resultado es un informe menos profundo, con menos tiempo para analizar el expediente y menos margen para solicitar documentación adicional.

Lo ideal es contactar al perito antes de interponer el recurso, idealmente en la fase de via administrativa previa. Eso permite preparar un informe preliminar para el recurso administrativo (que a veces resuelve el caso sin llegar al contencioso), identificar lagunas en el expediente y disenar una estrategia de prueba coherente.

3. No solicitar la ampliacion del expediente

He visto expedientes administrativos que omiten documentación técnica fundamental: logs completos, informes internos del departamento de TI, configuraciones de sistemas, registros de calibracion. Si esa documentación no se solicita a traves de la ampliacion del expediente (art. 61.1 LJCA), el informe pericial se basa en información incompleta y pierde contundencia.

4. Proponer la prueba pericial de forma generica

“Se propone prueba pericial informática” no es una proposición de prueba útil. El tribunal puede inadmitirla por indeterminada, y aunque la admita, la falta de concrecion limita lo que el perito puede analizar. La proposición debe especificar que aspectos técnicos se van a examinar, que documentos del expediente se van a analizar y que cuestiones se van a resolver.

5. No preparar la ratificación

Un informe pericial excelente puede quedar anulado por una ratificación deficiente. Si el perito no esta preparado para las preguntas del Abogado del Estado, si se contradice, si no sabe expresarse con claridad ante el magistrado o si se deja llevar a un terreno que no domina, el efecto puede ser peor que no haber aportado informe. Siempre preparo la ratificación conjuntamente con el letrado, anticipando las lineas de ataque más probables y ensayando respuestas claras y contundentes.

6. Elegir un perito sin experiencia en la materia concreta

Un perito informático generico no es lo mismo que un perito con experiencia en ciberseguridad, en arquitecturas cloud, en forense digital o en sistemás de monitorizacion. Cada tipo de caso requiere un perfil específico. Si el caso trata sobre una licitacion de servicios cloud y el perito nunca ha desplegado una infraestructura en la nube, su informe carecera de la profundidad y el detalle que el tribunal necesita.

7. No coordinar el informe pericial con la estrategia jurídica del recurso

He visto informes periciales tecnicamente correctos que no servian para nada porque no abordaban las cuestiones que el abogado planteaba en la demanda. El informe analizaba la seguridad del sistema en general cuando el recurso cuestionaba un punto específico de la configuración de cifrado. O el informe se centraba en la integridad de los logs cuando la demanda cuestionaba la proporcionalidad de la sanción. La descoordinacion entre la argumentacion jurídica y la argumentacion técnica es un error que se evita con una reunion inicial conjunta y con comunicación fluida durante la elaboración del informe.

8. Presentar un informe sin resumen ejecutivo

Los magistrados de lo contencioso-administrativo tienen una carga de trabajo elevada. Un informe pericial de 40 páginas sin resumen ejecutivo tiene muchas probabilidades de ser leido superficialmente. Siempre incluyo un resumen ejecutivo de una página al principio del informe, con las conclusiones clave numeradas y su conexión con las pretensiones del recurso. Ese resumen es lo que el magistrado lee primero y lo que probablemente consultara durante la deliberacion. El resto del informe esta para quien quiera profundizar, pero la batalla se gana o se pierde en esa primera página.

9. Subestimar la importancia de los diagramás y las tablas

Un error sutil pero frecuente: presentar todas las conclusiones en texto corrido. Los diagramás de arquitectura, las tablas comparativas, los timelines visuales y los graficos de datos tienen un impacto mucho mayor que los parrafos de texto. Un diagrama que muestra la arquitectura de seguridad de la empresa con todas sus capas de protección comunica más en un vistazo que 5 páginas de descripcion textual. Del mismo modo, una tabla que compare las medidas implementadas vs las exigidas por la AEPD, con un check verde o una cruz roja en cada fila, es inmediatamente comprensible para el magistrado.

En mis informes periciales, los diagramás y tablas no son decorativos: son argumentativos. Cada elemento visual transmite una conclusión y esta diseñado para ser comprensible sin necesidad de leer el texto que lo rodea. Si el magistrado solo mira los diagramás y las tablas, ya tiene el 80% del mensaje.

10. No documentar la cadena de custodía de la evidencia aportada

Todo informe pericial que aporta evidencia técnica (capturas de configuración, logs, certificados, informes de auditoria) debe documentar como se obtuvo esa evidencia, cuando se obtuvo, quien la obtuvo y que garantías de integridad tiene. Un hash SHA-256 de cada pieza de evidencia, una marca temporal verificable y una descripcion del proceso de obtención son requisitos mínimos. Si la evidencia no tiene cadena de custodia, el Abogado del Estado puede cuestionar su autenticidad durante la ratificación, y el tribunal puede restarle valor probatorio. Este es un error que cometen peritos con experiencia en informes técnicos pero sin formación en pericia judicial.

El futuro del peritaje informático en lo contencioso-administrativo

La tendencia es clara: el volumen de trabajo del perito informático en contencioso-administrativo va a seguir creciendo. Hay tres factores que lo explican.

Primero, la digitalizacion obligatoria de las administraciones públicas. La Ley 39/2015 impone la tramitación electrónica como norma general. Mas procedimientos electrónicos significan más decisiones basadas en datos digitales, más errores técnicos y más recursos donde la evidencia digital es la pieza central. La sede electrónica, la firma digital, la notificación electrónica, el expediente electrónico: todos son sistemás informáticos que pueden fallar, y cuando fallan, alguien tiene que explicar al tribunal que paso. Ese alguien es el perito informático.

Un ejemplo concreto: las notificaciones electrónicas a traves de la Dirección Electrónica Habilitada Única (DEHu). He analizado casos donde un ciudadaño alegaba no haber recibido una notificación electrónica que la Administración daba por notificada. Mi informe pericial verifico los registros del sistema de notificaciones y demostro que el intento de notificación se habia producido en un momento en que la plataforma DEHu registraba una caida de servicio documentada en su propio registro de incidencias. La “notificación” que la Administración daba por practicada nunca llego a producirse tecnicamente.

Segundo, la regulación tecnologica creciente. El AI Act europeo, la NIS2, el RGPD, el Esquema Nacional de Seguridad, la normativa de ciberseguridad sectorial: cada nueva regulación genera obligaciones técnicas cuyo cumplimiento o incumplimiento debe ser evaluado por un perito cuando hay disputa.

Tercero, la automatizacion de decisiones administrativas. Cada vez más administraciones utilizan algoritmos y sistemás de inteligencia artificial para tomar decisiones que afectan a ciudadaños y empresas: desde la selección de contribuyentes para inspeccion fiscal hasta la asignación de plazas escolares o la denegacion de prestaciones. Cuando un ciudadaño impugna una decisión automatizada, necesita un perito que evalua el algoritmo, sus datos de entrada, su lógica de decisión y sus sesgos potenciales.

Cuarto, la creciente sofisticacion de los ciberataques al sector público. Según el CCN-CERT, en 2025 se gestionaron más de 130.000 incidentes de ciberseguridad en el sector público español. Cada incidente puede generar un expediente administrativo, una sanción, una investigación interna o un expediente disciplinario. Y en cada uno de esos procedimientos, la evidencia digital esta en el centro.

Quinto, la transparencia y datos abiertos. La Ley 19/2013 de transparencia obliga a las administraciones a publicar información y responder a solicitudes de acceso. Cuando una administración deniega el acceso a datos alegando motivos técnicos (formatos incompatibles, datos personalizados, coste desproporcionado de extracción), el recurso contencioso-administrativo puede requerir un perito que evalua si esas alegaciones técnicas son fundadas o pretextuales. He analizado casos donde una administración alegaba que extraer determinados datos de su sistema “no era tecnicamente viable” cuando en realidad requeria una consulta SQL de 5 lineas.

Sexto, la descentralizacion y variabilidad de los sistemás públicos. Cada Comunidad Autonoma, cada ayuntamiento, cada organismo tiene sus propios sistemás informáticos, sus propias politicas de seguridad y su propio nivel de madurez tecnologica. Eso significa que no hay una solución única para todos los casos: cada recurso contencioso-administrativo con componente tecnologico requiere un análisis específico del sistema concreto involucrado. El perito no puede aplicar plantillas; tiene que entender cada sistema desde cero. He visto administraciones locales que siguen utilizando Windows Server 2008 (fuera de soporte desde 2020) y administraciones autonomicas con infraestructuras cloud modernas. El nivel de exigencia técnica que puedo aplicar en mi informe pericial varia en función del contexto: no es lo mismo cuestionar la seguridad de un sistema moderno con recursos que la de un ayuntamiento de 5.000 habitantes con presupuesto limitado de TI. La proporcionalidad es clave.

La interoperabilidad entre sistemás de diferentes administraciones es otra fuente creciente de conflictos. Cuando un ciudadaño tramita un procedimiento que involucra a varias administraciones (por ejemplo, una subvencion estatal gestionada por una comunidad autonoma con datos de un ayuntamiento), los datos viajan entre sistemás que no siempre son compatibles. Errores de formato, pérdida de campos, conversiones incorrectas de caracteres especiales, desfases temporales entre bases de datos: todos son problemás técnicos que pueden generar resoluciónes administrativas erroneas que el ciudadaño no entiende y que solo un perito puede diagnosticar.

En este contexto, el perito informático contencioso-administrativo no es un lujo procesal: es una necesidad creciente. Y los abogados administrativistas que integren la pericia informática en su práctica habitual tendrán una ventaja competitiva significativa frente a los que sigan litigando como si la tecnología no existiera.

Nuevos tipos de recursos que anticipamos para 2026-2027

Basandome en la regulación aprobada y en trámite, anticipo estos nuevos tipos de recursos contencioso-administrativos donde la pericia informática será esencial:

Cada una de estas regulaciones genera obligaciones técnicas cuyo cumplimiento o incumplimiento solo puede ser evaluado por un profesional con experiencia real en los sistemás afectados. El volumen de trabajo del perito informático en contencioso-administrativo solo puede crecer en los próximos años.

La especializacion será cada vez más importante. Un perito informático generico no podrá abordar con igual competencia una auditoria de cumplimiento del AI Act, un análisis de facturacion electrónica VeriFactu y una evaluación de seguridad NIS2. La tendencia apunta hacia peritos con especializacion vertical en determinados tipos de regulación y tecnología. En mi caso, mi experiencia como ex-CTO me posiciona especialmente bien para los casos que involucran arquitecturas cloud, ciberseguridad, protección de datos y sistemás de facturacion electrónica, que representan la mayoria del volumen de contencioso-administrativo con componente tecnologico en España.

Para los abogados administrativistas que lean esta guía, mi recomendación es clara: establezcan relación con un perito informático de confianza antes de necesitarlo. Cuando llegue el caso con componente tecnologico (y llegara, porque la tendencia es imparable), tener un perito con el que ya hayas trabajado, que entienda tu forma de litigar y que pueda responder rápido, vale su peso en oro. La primera consulta es siempre gratuita, y mi compromiso es responder en menos de 24 horas hábiles.

Si tu cliente enfrenta una sanción de la AEPD, una liquidacion de Hacienda, un expediente disciplinario basado en evidencia digital o cualquier otro acto administrativo con componente tecnologico, no dejes pasar los plazos. El tiempo es el recurso más escaso en el contencioso-administrativo, y el informe pericial necesita tiempo para ser bueno. Contactame ahora y evaluamos juntos la viabilidad técnica del recurso.

Servicios relacionados

Si tu caso involucra evidencia digital en un recurso contencioso-administrativo, estos servicios pueden ser relevantes:

• Informes periciales informáticos - Informes con estructura procesal adaptada a contencioso-administrativo, incluyendo análisis crítico del expediente de la Administración
• Perito informático judicial - Mi perfil completo como perito, cualificaciones, experiencia y metodología ISO 27037
• Servicio para abogados - Protocolo de colaboración perito-letrado con comunicación directa, plazos garantizados y disponibilidad para vistas
• Análisis forense digital - Cuando el recurso requiere extracción y preservación de evidencia digital con cadena de custodia
• Peritaje de correo electrónico - Para expedientes donde la evidencia incluye comunicaciones por email con cabeceras técnicas
• Certificación WhatsApp - Si la comunicación con la Administración o entre partes se realizo por WhatsApp y necesita validación forense

Como me contactan los abogados habitualmente

La mayoria de los letrados que trabajan conmigo en contencioso-administrativo llegan a mi por una de estas tres vias:

1. Referencia de otro abogado. La recomendación entre colegas es la fuente principal. Cuando un abogado administrativista tiene un buen resultado con mi informe pericial, lo recomienda a otros colegas que enfrentan casos similares.

2. Busqueda directa. Abogados que buscan “perito informático contencioso-administrativo” o “perito informático AEPD” y encuentran este contenido. Si has llegado hasta aquí leyendo, probablemente es tu caso.

3. Contacto del cliente. A veces es la propia empresa sancionada quien me contacta primero y luego me pone en contacto con su abogado. En estos casos, suelo recomendar que el letrado lidere la relación y que yo me integre en el equipo de defensa bajo su coordinacion.

En cualquiera de los tres casos, el primer paso es siempre una consulta gratuita de valoración. En 30-60 minutos reviso los datos básicos del caso, evaluo la viabilidad técnica del recurso y proporciono un presupuesto estimado. Sin compromiso y sin coste.

Cobertura geografica

Aunque mi base esta en Jaen, trabajo en todo el territorio nacional. El contencioso-administrativo tiene una distribucion geografica particular: las sanciones de la AEPD se recurren ante la Audiencia Nacional (Madrid), las de la AEAT ante el TEAR correspondiente o los Juzgados de lo Contencioso, y los actos de administraciones locales y autonomicas ante los juzgados y TSJ de cada provincia. Me desplazo a cualquier juzgado o tribunal de España para la ratificación del informe. Para los casos de Madrid, Barcelona, Sevilla, Valencia y Bilbao, donde litigo con más frecuencia, el coste de desplazamiento esta optimizado.

La elaboración del informe pericial se realiza de forma remota en la mayoria de los casos: la documentación del expediente se digitaliza, los logs y datos técnicos se analizan remotamente, y las reuniones con el letrado se hacen por videoconferencia. Solo es necesario el desplazamiento presencial para la ratificación en vista y, en algunos casos, para inspecciones in situ de sistemás o equipos.

Para juzgados y tribunales de la mitad sur de España (Madrid, Andalucia, Murcia, Castilla-La Mancha, Extremadura), el desplazamiento desde Jaen es directo y el coste es mínimo. Para tribunales del norte (Cataluna, Pais Vasco, Galicia, Asturias), el desplazamiento requiere vuelo o AVE, y ese coste se refleja en el presupuesto. En todos los casos, el coste de desplazamiento se factura a precio de coste real, sin margen.

La Audiencia Nacional (Madrid), donde se recurren las sanciones de la AEPD y determinados actos de organismos estatales, es el tribunal donde más frecuentemente me ratifico. Conozco bien sus procedimientos, sus plazos y las dinamicas de sus vistas. Esa familiaridad con el tribunal es un valor anadido que repercute en la calidad de la ratificación.

Referencias

1. Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LJCA) - BOE
2. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común - BOE
3. Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LEC) - BOE
4. Reglamento General de Protección de Datos (RGPD) 2016/679 - EUR-Lex
5. Memoria Anual AEPD 2025 - Agencia Española de Protección de Datos
6. Esquema Nacional de Seguridad - Real Decreto 311/2022 - BOE
7. Guía sobre gestión de brechas de datos personales - AEPD
8. Jurisprudencia Tribunal Supremo, Sala Tercera - CGPJ
9. Directiva DAC7 (2021/514) sobre intercambio de información fiscal de plataformás digitales - EUR-Lex
10. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público - BOE
11. STC 76/1990 sobre presuncion de veracidad de actos administrativos - Tribunal Constitucional
12. Ley 41/2002, de 14 de noviembre, de autonomia del paciente - BOE
13. Ley 36/2011, de 10 de octubre, reguladora de la jurisdicción social (LRJS) - BOE
14. ISO 1996-1:2016 - Descripcion, medicion y evaluación del ruido ambiental - ISO
15. IBM Cost of a Data Breach Report 2025 - IBM Security
16. Instrucción 1/2006 de la AEPD sobre videovigilancia - AEPD
17. Reglamento de Inteligencia Artificial (AI Act) 2024/1689 - EUR-Lex
18. Buscador de resoluciónes AEPD - AEPD
19. Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno - BOE
20. CCN-CERT - Informe de ciberamenazas y tendencias 2025 - Centro Criptologico Nacional
21. Directrices EDPB 3/2019 sobre tratamiento de datos personales mediante videovigilancia - Comite Europeo de Protección de Datos