Peritaje Informatico Contencioso-Administrativo

Una sanción de 2 millones de euros anulada por un informe pericial de 15 páginas

Soy Jonathan Izquierdo, perito informático forense, y he participado cómo perito en procedimientos contencioso-administrativos donde la diferencia entre pagar una sanción millonaria y conseguir su anulacion dependio exclusivamente de la prueba pericial informática. En uno de los casos más representativos, una empresa tecnológica española recurrio una sanción de la AEPD de 2 millones de euros por presunta brecha de datos. El acta de inspeccion afirmaba que las medidas de seguridad eran “insuficientes”. El informe pericial demostro que las medidas cumplian el estandar ISO 27001 y que la brecha se debio a un zero-day no previsible. La Audiencia Nacional estimo el recurso.

La jurisdicción contencioso-administrativa presenta un reto único para el perito informático: no basta con analizar evidencia digital cómo en la jurisdicción penal o civil. Aquí el perito se enfrenta a la presuncion de veracidad de los actos administrativos, un principio jurídico que significa que lo que dice la administración se presume cierto salvo prueba en contrario. Y esa prueba en contrario, cuando el acto administrativo se basa en hechos técnicos, requiere necesariamente un perito informático.

Que es la jurisdicción contencioso-administrativa

La jurisdicción contencioso-administrativa es el orden jurisdiccional que controla la legalidad de la actuacion de las administraciones públicas. Se regula por la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa (LJCA).

Cuando interviene un perito informático en lo contencioso-administrativo

Base legal de la prueba pericial en lo contencioso-administrativo

Art. 60 LJCA: la puerta al peritaje

El artículo 60.1 de la LJCA establece que el juez contencioso-administrativo podrá acordar de oficio o a instancia de parte la práctica de cuantas pruebas estime pertinentes, siendo aplicables las normas de la LEC sobre medios de prueba. Esto incluye expresamente la prueba pericial.

Art. 61 LJCA: prueba de hechos relevantes

El art. 61.1 LJCA dispone que solo se practicara prueba cuando exista disconformidad en los hechos y estos fueran de trascendencia para la resolución del pleito. Esto es fundamental: si la administración basa su sanción en hechos técnicos (medidas de seguridad insuficientes, brecha por negligencia, incumplimiento técnico), la prueba pericial informática es pertinente porque hay disconformidad sobre hechos de naturaleza técnica.

Presuncion de veracidad: art. 39.1 Ley 39/2015

Los actos de las administraciones públicas sujetos al Derecho Administrativo se presumen validos y producen efectos desde la fecha en que se dicten, salvo que se disponga otra cosa (art. 39.1 Ley 39/2015, LPAC). La presuncion de veracidad se extiende a las actas de inspeccion y al expediente administrativo.

Implicacion práctica: La carga de la prueba recae sobre el administrado. No es la administración quien debe demostrar que tu empresa incumple; eres tu quien debe demostrar que cumples. Y en materias técnicas informaticas, eso requiere un perito.

Los 8 tipos de procedimientos donde interviene el perito informático

1. Sanciones AEPD por brechas de seguridad

Escenario: La AEPD sanciona a una empresa por una brecha de datos personales, alegando insuficiencia de medidas técnicas (art. 32 RGPD).

Rol del perito:

• Documentar las medidas técnicas implementadas antes de la brecha (cifrado, acceso, monitoring)
• Demostrar que las medidas eran proporcionales al riesgo (análisis de riesgos)
• Acreditar que la brecha se debio a causa no previsible (zero-day, APT)
• Refutar las conclusiones técnicas del acta de inspeccion

2. Inspecciones tributarias AEAT

Escenario: La AEAT liquida diferencias tributarias basandose en análisis de sistemas informáticos de facturacion, contabilidad o registros digitales de la empresa.

Rol del perito:

• Verificar la integridad de los datos extraidos por la inspeccion
• Analizar si la metodología de extracción respeto la cadena de custodia digital
• Demostrar que los datos del sistema no fueron alterados
• Contrastar los resultados de la inspeccion con los datos reales del sistema

3. Licitaciones y contratación pública electrónica

Escenario: Una empresa impugna la adjudicacion de un contrato público alegando irregularidades en la plataforma electrónica de licitacion.

Rol del perito:

• Analizar logs de la plataforma de licitacion
• Verificar timestamps de presentación de ofertas
• Detectar modificaciones posteriores al plazo
• Documentar fallos técnicos que perjudicaron al licitador

4. Expedientes disciplinarios por uso de sistemas informáticos

Escenario: Un funcionario es sancionado por uso indebido de sistemas informáticos de la administración (acceso a datos sin autorización, uso personal).

Rol del perito:

• Analizar logs de acceso al sistema
• Verificar si el acceso fue autorizado o no
• Determinar el alcance real del uso indebido
• Cuestionar la metodología de la investigación interna

5. Resoluciónes CNMC en telecomunicaciones

Escenario: La CNMC sanciona a un operador por incumplimientos técnicos en calidad de servicio, interconexion o neutralidad de red.

Rol del perito:

• Analizar mediciones técnicas de calidad de servicio
• Verificar la metodología de medicion de la CNMC
• Aportar mediciones independientes
• Acreditar cumplimiento técnico de la normativa

6. Sanciones por incumplimiento de normativa de ciberseguridad (NIS2)

Escenario: La autoridad competente sanciona a una entidad esencial o importante por incumplimiento de la Directiva NIS2 (transpuesta cómo Ley de Ciberseguridad).

Rol del perito:

• Documentar las medidas de gestion de riesgos implementadas
• Acreditar la proporcionalidad de las medidas respecto al nivel de riesgo
• Analizar si la notificación de incidentes cumplio los plazos legales
• Contrastar las conclusiones del regulador con el estado real de los sistemas

7. Resoluciónes sobre firma electrónica y servicios de confianza

Escenario: Impugnación de actos basados en firma electrónica inválida o sellos de tiempo cuestionados.

Rol del perito:

• Verificar la validez técnica de certificados electrónicos
• Analizar cadenas de certificación y listas de revocacion
• Acreditar o refutar la integridad de documentos firmados electronicamente
• Emitir dictamen sobre compliance con eIDAS y Ley 6/2020

8. Procedimientos sancionadores por publicidad digital

Escenario: Sanción por publicidad engañosa, cookies sin consentimiento o incumplimiento de la LSSI en plataformas digitales.

Rol del perito:

• Analizar el funcionamiento técnico de cookies y trackers
• Documentar el sistema de consentimiento implementado
• Verificar la adecuacion técnica del banner de cookies
• Aportar evidencia de compliance técnico

Diferencias clave entre jurisdicciones

Cómo desvirtuar la presuncion de veracidad con peritaje informático

5 estrategias del perito contra la administración

Estrategia 1: Demostrar error de hecho en el acta de inspeccion

El perito acredita que los hechos técnicos recogidos en el acta son incorrectos. Por ejemplo, el acta dice que no habia cifrado y el perito demuestra que si existia cifrado AES-256 en la base de datos.

Estrategia 2: Demostrar que la metodología de inspeccion fue inadecuada

El perito cuestiona como la administración realizo su comprobacion técnica. Por ejemplo, la AEAT extrajo datos sin documentar el hash de la imagen forense, rompiendo la cadena de custodia digital.

Estrategia 3: Demostrar proporcionalidad de las medidas técnicas

El perito acredita que las medidas implementadas eran proporcionales al riesgo evaluado, aunque el regulador las considere insuficientes. Incluye análisis de riesgos, benchmarking con empresas del sector y comparación con estandares (ISO 27001, ENS).

Estrategia 4: Demostrar causa no imputable al administrado

El perito demuestra que el incidente se debio a causa no previsible ni evitable: vulnerabilidad zero-day no parcheada por el fabricante, ataque APT de actor estatal, o fallo de un proveedor crítico fuera de control.

Estrategia 5: Aportar evidencia omitida por la administración

El perito presenta evidencia técnica que la administración no considero o que contradice sus conclusiones. Por ejemplo, logs de seguridad que demuestran detección temprana y respuesta adecuada al incidente.

Caso práctico: impugnación de sanción AEPD

Nota: Este caso esta basado en una investigación forense real. Los datos (nombre de empresa, importes exactos, fechas) han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes.

Situación

Una empresa de comercio electrónico española recibio una sanción de 500.000 euros de la AEPD por una brecha de datos que afecto a 12.000 clientes. El acta de inspeccion afirmaba que las medidas técnicas de seguridad eran “insuficientes” y que la empresa “no habia realizado un análisis de riesgos adecuado”.

Análisis pericial realizado

Conclusiones del informe pericial

1. Las medidas técnicas de la empresa cumplian el art. 32 RGPD y el estandar ISO 27001
2. La brecha se debio a una vulnerabilidad zero-day en libreria de terceros (causa no imputable)
3. La empresa detecto la brecha en 6 horas y la notifico a la AEPD en 36 horas (dentro del plazo de 72 horas)
4. El acta de inspeccion no considero el análisis de riesgos existente ni la certificación ISO 27001

Resultado

La Audiencia Nacional estimo parcialmente el recurso, reduciendo la sanción de 500.000 euros a 50.000 euros (reducción del 90%). La sentencia cito expresamente el informe pericial cómo prueba determinante para acreditar la proporcionalidad de las medidas técnicas.

Coste del peritaje contencioso-administrativo

FAQ

P: Puede un perito informático de parte refutar las conclusiones de los inspectores de la AEPD? R: Si. El informe de los inspectores de la AEPD, aunque goza de presuncion de veracidad (art. 77.5 Ley 39/2015), es una presuncion iuris tantum que admite prueba en contrario. Un informe pericial informático con metodología rigurosa puede desvirtuar esa presuncion demostrando que los hechos técnicos recogidos en el acta son incorrectos, incompletos o mal interpretados.

P: Cuanto tiempo tengo para recurrir una sanción administrativa? R: El plazo para interponer recurso contencioso-administrativo es de 2 meses desde la notificación del acto (art. 46.1 LJCA). Si se interpone recurso de alzada o reposicion previo, el plazo se cuenta desde la notificación de la resolución del recurso administrativo. Es fundamental contactar con perito y abogado cuanto antes porque la preparacion del informe pericial requiere tiempo.

P: El juez contencioso-administrativo puede nombrar perito judicial informático? R: Si, aunque es menos frecuente que en civil o penal. El art. 60.1 LJCA permite la práctica de cualquier medio de prueba, incluida la pericial judicial. Sin embargo, en la práctica, la pericial informática en lo contencioso-administrativo suele ser de parte porque es el administrado quien tiene la carga de desvirtuar la presuncion de veracidad.

P: Sirve una certificación ISO 27001 cómo defensa ante una sanción AEPD? R: Ayuda pero no es suficiente por si sola. La certificación ISO 27001 acredita que la empresa tiene un SGSI implementado, pero el regulador puede argumentar que las medidas concretas no eran adecuadas para el riesgo específico. El perito informático complementa la certificación con análisis técnico detallado de las medidas concretas implementadas y su proporcionalidad.

P: Que diferencia hay entre el peritaje para AEPD y para AEAT? R: El peritaje para AEPD se centra en demostrar la adecuacion de medidas técnicas de seguridad y protección de datos. El peritaje para AEAT se centra en la integridad de datos y sistemas de facturacion/contabilidad, verificando que la extracción realizada por la inspeccion fue correcta y que los datos del sistema son fiables. Ambos comparten la necesidad de desvirtuar la presuncion de veracidad, pero los conocimientos técnicos requeridos son diferentes.

Referencias y fuentes

1. Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa (LJCA). Arts. 60 y 61 sobre prueba. boe.es
2. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC). Art. 39.1 (presuncion de validez) y art. 77.5 (valor probatorio actas de inspeccion). boe.es
3. Reglamento (UE) 2016/679 (RGPD). Art. 32 (seguridad del tratamiento), art. 33 (notificación de brechas). eur-lex.europa.eu
4. AEPD. (2025). “Memoria anual 2024”. Estadisticas de procedimientos sancionadores y resoluciónes. aepd.es
5. Audiencia Nacional, Sala de lo Contencioso-Administrativo. Jurisprudencia sobre recursos contra sanciones AEPD. poderjudicial.es
6. STC 76/1990, del Tribunal Constitucional. Sobre los límites de la presuncion de veracidad de las actas de inspeccion tributaria.
7. ISO/IEC 27001:2022. “Information security, cybersecurity and privacy protection”. Estandar de referencia para SGSI.
8. Esquema Nacional de Seguridad (ENS). Real Decreto 311/2022, de 3 de mayo. Marco de seguridad para administraciones públicas y sus proveedores. boe.es
9. Directiva (UE) 2022/2555 (NIS2). Medidas para un elevado nivel común de ciberseguridad en la Union. eur-lex.europa.eu
10. INCIBE. (2025). “Guia de cumplimiento normativo en ciberseguridad para PYMES”. incibe.es
11. Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Protección de datos personales y garantia de los derechos digitales. boe.es
12. Ley 58/2003, de 17 de diciembre, General Tributaria (LGT). Arts. 142-145 sobre funciones y documentación de la inspeccion tributaria. boe.es

Última actualización: 16 de marzo de 2026 Categoria: Marco Legal (LEG-019) Nivel técnico: Avanzado Relevancia: Alta (crecimiento sanciones AEPD y reguladores digitales)