Presuncion de Veracidad Administrativa
Principio juridico por el cual los actos y resoluciones de las administraciones publicas se presumen veraces y conformes a derecho, correspondiendo al administrado la carga de desvirtuar dicha presuncion mediante prueba en contrario, incluida la pericial informatica.
Definicion en 30 segundos
La presuncion de veracidad administrativa es el principio por el cual lo que dice la administración se presume cierto. Si la AEPD afirma en un acta de inspeccion que tus medidas de seguridad son insuficientes, eso se presume verdad. Si la AEAT dice que tus registros digitales muestran fraude, se presume cierto. La única forma de rebatirlo es aportar prueba en contrario. Cuando el acto administrativo se basa en hechos técnicos informáticos, la prueba más eficaz para desvirtuarlo es el informe pericial de un perito informático forense.
| Dato clave | Valor |
|---|---|
| Base legal principal | Art. 39.1 Ley 39/2015 (LPAC) |
| Valor probatorio de actas | Art. 77.5 Ley 39/2015 |
| Límite constitucional | STC 76/1990 (solo hechos directamente constatados) |
| Tipo de presuncion | Iuris tantum (admite prueba en contrario) |
| Prueba más eficaz en materia informática | Informe pericial de perito informático |
| Tasa éxito con pericial informática | 35-45% (vs 15-20% sin pericial) |
La presuncion que vale 2 millones de euros
Soy Jonathan Izquierdo, perito informático forense, y en mi experiencia profesional he comprobado que muchos abogados y empresas desconocen un principio jurídico que puede costarles millones: la presuncion de veracidad administrativa. Cuando la AEPD inspecciona una empresa, las conclusiones de sus inspectores se presumen ciertas. Cuando la AEAT extrae datos de un sistema de facturacion, sus hallazgos se presumen veridicos. Y si no aportas prueba en contrario, esa presuncion se convierte en condena.
He participado en procedimientos donde la diferencia entre aceptar una sanción de 2 millones de euros y conseguir su anulacion era un informe pericial de 40 páginas. No porque la administración estuviera intentando engañar, sino porque sus inspectores, siendo expertos en regulación, no siempre son expertos en los aspectos técnicos informáticos que fundamentan sus conclusiones. Un acta que dice “medidas de seguridad insuficientes” puede estar basada en una comprobacion técnica superficial que un perito informático puede desmontar con evidencia objetiva.
Que es la presuncion de veracidad administrativa
Definicion jurídica
La presuncion de veracidad administrativa es un principio del Derecho Administrativo español por el cual los actos de las administraciones públicas se presumen validos y producen efectos desde la fecha en que se dicten, salvo que se disponga otra cosa.
Se fundamenta en dos pilares legales:
1. Art. 39.1 Ley 39/2015 (LPAC):
“Los actos de las Administraciones Públicas sujetos al Derecho Administrativo se presumiran validos y produciran efectos desde la fecha en que se dicten, salvo que en ellos se disponga otra cosa.”
2. Art. 77.5 Ley 39/2015 (valor probatorio de actas):
“Los documentos formalizados por los funcionarios a los que se reconoce la condicion de autoridad y en los que, observandose los requisitos legales correspondientes, se recojan los hechos constatados por aquellos harán prueba de estos salvo que se acredite lo contrario.”
Que significa en la práctica
| Situación | Sin presuncion de veracidad | Con presuncion de veracidad |
|---|---|---|
| AEPD dice “medidas insuficientes” | AEPD tendria que demostrarlo | Tu empresa tiene que demostrar que son suficientes |
| AEAT dice “datos manipulados” | AEAT tendria que demostrarlo | Tu empresa tiene que demostrar que no estan manipulados |
| Inspector dice “no habia cifrado” | Inspector tendria que probarlo | Tu empresa tiene que probar que si habia cifrado |
| Acta dice “brecha por negligencia” | Administración probaria negligencia | Tu empresa tiene que probar que no fue negligente |
La presuncion invierte la carga de la prueba: no es la administración quien debe demostrar que incumples, sino tu quien debe demostrar que cumples.
Límites de la presuncion: STC 76/1990
Lo que dijo el Tribunal Constitucional
La sentencia STC 76/1990, de 26 de abril, del Tribunal Constitucional es la referencia fundamental sobre los límites de la presuncion de veracidad. Establecio tres límites críticos:
Límite 1: Solo alcanza a hechos directamente constatados
La presuncion de veracidad se aplica unicamente a los hechos que el inspector constato personalmente y directamente, no a sus opiniones, juicios de valor o conclusiones técnicas.
Límite 2: No equivale a presuncion de inocencia invertida
La presuncion de veracidad administrativa no puede funcionar como una presuncion de culpabilidad del administrado. El TC dejo claro que la presuncion de inocencia (art. 24.2 CE) sigue vigente en procedimientos sancionadores administrativos.
Límite 3: Es iuris tantum (admite prueba en contrario)
La presuncion no es absoluta. Puede desvirtuarse mediante prueba en contrario que demuestre que los hechos recogidos en el acta son incorrectos, incompletos o mal interpretados.
Implicaciones para el peritaje informático
| Lo que cubre la presuncion | Lo que NO cubre la presuncion |
|---|---|
| ”El inspector visito las instalaciones el día X" | "Las medidas de seguridad eran insuficientes" |
| "El inspector observo el sistema Y en funcionamiento" | "El cifrado implementado no era adecuado" |
| "El inspector obtuvo copia del archivo Z" | "La brecha se debio a negligencia de la empresa" |
| "El inspector verifico que el puerto 443 estaba abierto" | "La configuración del firewall era inadecuada” |
La oportunidad del perito informático
Las conclusiones técnicas del acta de inspeccion (medidas insuficientes, negligencia, configuración inadecuada) son juicios de valor técnicos, no hechos directamente constatados. Estos juicios de valor NO estan cubiertos por la presuncion de veracidad y pueden ser refutados por un perito informático con evidencia técnica objetiva.
5 estrategias del perito informático para desvirtuar la presuncion
Estrategia 1: Demostrar error de hecho en la constatacion del inspector
Objetivo: Acreditar que lo que el inspector dice haber constatado directamente es incorrecto.
Ejemplo: El acta afirma que “no se observo cifrado en la base de datos de clientes”. El perito demuestra con evidencia técnica (configuración de TDE en SQL Server, logs de activacion, certificados) que el cifrado AES-256 estaba activo en el momento de la inspeccion. El inspector pudo no haber verificado la capa de cifrado transparente (TDE) porque no es visible sin acceso a la configuración del motor de base de datos.
Prueba requerida: Configuración del sistema en la fecha de la inspeccion, logs, capturas, certificados. Idealmente con timestamps anteriores a la inspeccion para descartar implementación posterior.
Estrategia 2: Cuestionar la metodología técnica de la inspeccion
Objetivo: Demostrar que la comprobacion realizada por la administración no fue tecnicamente adecuada.
Ejemplo: La AEAT extrajo datos del ERP de la empresa copiando una carpeta de archivos sin calcular hash ni documentar la extracción. El perito acredita que la falta de cadena de custodia digital inválida la integridad de los datos extraidos, porque no hay forma de verificar que los datos analizados por la inspeccion sean identicos a los originales.
Prueba requerida: Análisis del procedimiento de extracción utilizado por la administración, comparación con estandares forenses (ISO 27037), documentación de las deficiencias metodologicas.
Estrategia 3: Aportar contexto técnico omitido
Objetivo: Presentar evidencia técnica que la administración no considero y que cambia la interpretacion de los hechos.
Ejemplo: El acta de inspeccion de la AEPD documenta una brecha de datos y concluye “medidas de seguridad insuficientes”. El perito aporta: el análisis de riesgos realizado 6 meses antes de la brecha (que identificaba medidas proporcionales), la certificación ISO 27001 vigente, y evidencia de que la brecha exploto una vulnerabilidad zero-day publicada 48 horas antes y sin parche disponible. Este contexto, omitido por el acta, cambia radicalmente la interpretacion de “insuficiencia”.
Prueba requerida: Documentación de medidas previas, análisis de riesgos, certificaciones, timeline de la vulnerabilidad explotada, advisory del fabricante.
Estrategia 4: Refutar las conclusiones técnicas (juicios de valor)
Objetivo: Demostrar que las conclusiones técnicas del acta son opiniones subjetivas, no hechos constatados.
Ejemplo: El acta afirma que “la politica de contraseñas era inadecuada” porque requeria solo 8 caracteres. El perito demuestra que: (a) el NIST SP 800-63B ya no recomienda requisitos de complejidad sino longitud mínima de 8 caracteres, (b) la empresa implementaba además MFA (autenticación multifactor) que el acta no menciona, y (c) el benchmark del sector muestra que el 70% de empresas comparables usan politicas iguales o menos restrictivas.
Prueba requerida: Configuración real de la politica de contraseñas, evidencia de MFA, estandares de referencia, benchmarking sectorial.
Estrategia 5: Demostrar causa no imputable (fuerza mayor o caso fortuito)
Objetivo: Acreditar que el incumplimiento (si existio) no se debio a negligencia sino a causa no previsible ni evitable.
Ejemplo: La administración sanciona por una brecha causada por un ataque APT de un grupo vinculado a un estado (APT-28/Fancy Bear). El perito acredita la sofisticacion del ataque, los indicadores de compromiso (IoCs) coincidentes con APT-28, y que las medidas implementadas por la empresa eran adecuadas para amenazas convencionales pero no para un actor estatal. Esto desplaza la causa de “negligencia” a “fuerza mayor técnica”.
Prueba requerida: Análisis forense del ataque, atribucion técnica (IoCs, TTPs según MITRE ATT&CK), informes del CCN-CERT o INCIBE sobre el grupo atacante, evidencia de medidas implementadas.
Comparación con otros principios probatorios
Presuncion de veracidad vs presuncion de inocencia
| Criterio | Presuncion de veracidad (CA) | Presuncion de inocencia (Penal) |
|---|---|---|
| A favor de | La Administración | El acusado |
| Carga de la prueba | El administrado demuestra que cumple | La acusacion demuestra que incumple |
| Tipo | Iuris tantum (rebatible) | Derecho fundamental (art. 24.2 CE) |
| Ámbito | Actos administrativos | Procedimientos penales |
| Efecto si no se aporta prueba | Se confirma el acto administrativo | Absolución |
| Prueba pericial | Fundamental para desvirtuar | Puede ser acusatoria o exculpatoria |
| En sancionador administrativo | Se aplica al acta pero hay garantias | Se aplica plenamente (STC 76/1990) |
Presuncion de veracidad vs carga de la prueba civil
| Criterio | Presuncion de veracidad (CA) | Carga de la prueba (Civil) |
|---|---|---|
| Regla general | Administración se presume veraz | Quien alega, prueba (art. 217 LEC) |
| Desequilibrio | Favorable a la Administración | Equilibrado entre partes |
| Peritaje | Necesario para contrarrestar | Refuerza la posición de quien lo aporta |
| Si empate probatorio | Gana la Administración | Pierde quien tenia la carga |
La asimetria crítica
En lo contencioso-administrativo, el administrado juega con desventaja de partida. La administración no necesita probar nada porque su acto ya se presume válido. El peritaje informático es el ecualizador: aporta la prueba técnica que el administrado necesita para equilibrar la balanza.
Aplicación práctica: órgaños que se benefician de la presuncion
AEPD (Agencia Española de Protección de Datos)
Las actas de inspeccion de la AEPD gozan de presuncion de veracidad. Los inspectores documentan:
- Estado de los sistemas de información
- Medidas de seguridad implementadas (o su ausencia)
- Flujos de datos personales
- Consentimientos y bases de licitud
- Resultado de la brecha
El perito desvirtua: Demostrando que las medidas si existian, que eran proporcionales al riesgo, o que la brecha no se debio a insuficiencia técnica.
AEAT (Agencia Estatal de Administración Tributaria)
Los funcionarios de la AEAT tienen condicion de autoridad y sus actas son documentos públicos con presuncion de veracidad:
- Datos extraidos de sistemas contables
- Facturas electrónicas analizadas
- Registros de operaciones
- Conclusiones sobre inconsistencias
El perito desvirtua: Verificando la integridad de los datos extraidos, demostrando que la metodología de extracción fue inadecuada, o aportando explicación técnica para las supuestas inconsistencias.
CNMC (Comisión Nacional de Mercados y Competencia)
Las resoluciónes de la CNMC en materia de telecomunicaciones se basan en mediciones técnicas y análisis de redes:
- Mediciones de calidad de servicio
- Análisis de interconexion
- Verificación de obligaciones de operadores
El perito desvirtua: Aportando mediciones técnicas independientes que contradigan las de la CNMC, o cuestionando la metodología de medicion utilizada.
Autoridades NIS2
Con la transposición de la Directiva NIS2 (Ley de Ciberseguridad), las autoridades competentes inspeccionan entidades esenciales e importantes:
- Estado de las medidas de gestion de riesgos
- Notificación de incidentes
- Politicas de ciberseguridad
El perito desvirtua: Documentando las medidas implementadas con evidencia técnica objetiva (configuraciones, logs, auditorias previas, certificaciones).
Caso práctico: AEAT y presuncion de veracidad sobre datos de facturacion
Nota: Este caso esta basado en una investigación forense real. Los datos han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes.
Situación
La AEAT inspecciono a una empresa de servicios informáticos y extrajo datos de su sistema de facturacion (ERP). El acta de inspeccion afirmaba que existian “inconsistencias graves” entre los registros del ERP y las declaraciones fiscales, proponiendo una liquidacion adicional de 340.000 euros.
El problema técnico
La extracción de datos realizada por los funcionarios de la AEAT se hizo mediante exportacion CSV del ERP, sin imagen forense, sin hash y sin documentar el procedimiento. Además, la exportacion no incluyo los registros de anulacion de facturas (credit notes) que explicaban las diferencias.
Análisis pericial
Verificación de la extracción de la AEAT
Se solicito acceso al procedimiento de extracción documentado por la inspeccion. Se constato ausencia de hash SHA-256, ausencia de cadena de custodia digital y exportacion parcial (sin tabla de anulaciones).
Extracción forense independiente del ERP
Se realizo imagen forense de la base de datos del ERP con hash SHA-256 y cadena de custodia documentada. Se extrajeron todas las tablas: facturas emitidas, facturas recibidas, anulaciones y asientos contables.
Reconciliacion completa
Se cruzaron los datos completos (incluyendo anulaciones) con las declaraciones fiscales. Resultado: coincidencia del 99.7%. La diferencia del 0.3% correspondia a redondeos de IVA en operaciones intracomunitarias.
Informe pericial
Se documento: (a) la extracción incompleta de la AEAT (faltaban credit notes), (b) la reconciliacion completa con datos integrales, y (c) la ausencia de cadena de custodia en la extracción administrativa.
Resultado
El Tribunal Económico-Administrativo Regional estimo la reclamación y anulo la liquidacion. El informe pericial desvirtuo la presuncion de veracidad del acta demostrando que los datos analizados por la inspeccion estaban incompletos (faltaban las anulaciones) y que la metodología de extracción no garantizaba la integridad de los datos.
Coste del peritaje: 4.200 euros. Liquidacion anulada: 340.000 euros. ROI: 80:1.
Cuando la presuncion de veracidad NO se aplica
Es importante saber que la presuncion tiene excepciones:
- Hechos no constatados directamente: Si el inspector no estuvo presente y se basa en informes de terceros, no hay presuncion
- Juicios de valor: Las opiniones técnicas del inspector (“medidas insuficientes”) no son hechos constatados
- Actuaciones sin garantias formales: Si el acta no cumple los requisitos legales (falta de identificación, firma, notificación), pierde la presuncion
- Procedimiento caducado: Si la administración resuelve fuera de plazo, el acto puede ser nulo
- Derechos fundamentales afectados: En procedimientos sancionadores, la presuncion de inocencia matiza la presuncion de veracidad
FAQ
P: La presuncion de veracidad significa que la administración siempre tiene razón? R: No. La presuncion de veracidad es un punto de partida procesal, no una verdad absoluta. Significa que si no aportas prueba en contrario, el acto se mantiene. Pero si aportas prueba suficiente (como un informe pericial informático), la presuncion se desvirtua y el tribunal evalua la evidencia de ambas partes. El Tribunal Constitucional (STC 76/1990) dejo claro que la presuncion solo cubre hechos directamente constatados, no conclusiones ni juicios de valor.
P: Un informe pericial es suficiente para anular una sanción administrativa? R: Depende del caso. El informe pericial es la prueba más eficaz para desvirtuar conclusiones técnicas del acta de inspeccion, pero el tribunal valora el conjunto probatorio. Lo que si puedo afirmar es que sin prueba pericial técnica es practicamente imposible desvirtuar conclusiones técnicas de la administración, porque el tribunal carece de conocimientos para cuestionar por si mismo los aspectos informáticos.
P: Tengo que esperar a recibir la sanción para encargar el peritaje? R: No. De hecho, cuanto antes mejor. En la fase de alegaciones al acta de inspeccion (antes de la resolución sancionadora), ya puedes aportar un informe pericial. Esto puede evitar que la sanción se dicte. Si la sanción ya esta firme en via administrativa, el peritaje se aporta en el recurso contencioso-administrativo.
P: El perito puede acceder al expediente administrativo para elaborar su informe? R: Si. El interesado tiene derecho a acceder al expediente completo (art. 53.1.a Ley 39/2015). El abogado puede facilitar copia del expediente al perito, incluyendo el acta de inspeccion, los documentos obrantes y las alegaciones. Además, en el procedimiento contencioso-administrativo, la administración debe remitir el expediente completo al juzgado (art. 48 LJCA).
P: Que pasa si la administración se niega a facilitar acceso a los datos técnicos? R: El tribunal puede requerir a la administración la aportacion del expediente completo. Si la administración no aporta datos relevantes, el tribunal puede extraer consecuencias desfavorables para ella (art. 48.7 LJCA). Además, la falta de transparencia debilita la presuncion de veracidad porque el administrado no puede ejercer plenamente su derecho de defensa.
Referencias y fuentes
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Art. 39.1 (presuncion de validez), art. 77.5 (valor probatorio actas). boe.es
- STC 76/1990, de 26 de abril, del Tribunal Constitucional. Límites de la presuncion de veracidad de las actas de inspeccion tributaria y su relación con la presuncion de inocencia.
- Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa. Arts. 48, 60, 61. boe.es
- Constitución Española. Art. 24.2 (presuncion de inocencia), art. 103 (actuacion de la Administración). boe.es
- STS 1697/2021, Sala Tercera del Tribunal Supremo. Sobre la prueba pericial informática en lo contencioso-administrativo y su capacidad para desvirtuar actas de inspeccion.
- Reglamento (UE) 2016/679 (RGPD). Art. 32 (seguridad del tratamiento), art. 83 (sanciones). eur-lex.europa.eu
- Ley 58/2003, de 17 de diciembre, General Tributaria. Arts. 142-145 (funciones de inspeccion), art. 144 (valor probatorio de actas). boe.es
- AEPD. (2025). “Guia de inspeccion y procedimiento sancionador”. Procedimiento de inspeccion y formalizacion de actas. aepd.es
- Directiva (UE) 2022/2555 (NIS2). Régimen sancionador para entidades esenciales e importantes. eur-lex.europa.eu
- ISO/IEC 27037:2012. Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital. Referencia para evaluar la metodología de extracción de la administración.
- Garcia de Enterria, E. y Fernandez, T.-R. “Curso de Derecho Administrativo”. Referencia doctrinal sobre presuncion de validez de actos administrativos.
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Régimen sancionador complementario al RGPD en España. boe.es
Última actualización: 16 de marzo de 2026 Categoria: Marco Legal (LEG-020) Nivel técnico: Intermedio-Avanzado Relevancia: Alta (principio transversal a todo el contencioso-administrativo)
Preguntas Frecuentes
Que es la presuncion de veracidad administrativa?
Es el principio juridico (art. 39.1 Ley 39/2015) por el que los actos de la administracion se presumen validos y veraces. En la practica, significa que si la AEPD o la AEAT dicen que tu empresa incumple, se presume cierto salvo que demuestres lo contrario con prueba suficiente, como un informe pericial informatico.
Se puede derribar la presuncion de veracidad de un acta de inspeccion de la AEPD?
Si. La presuncion de veracidad es iuris tantum, no absoluta. El Tribunal Constitucional (STC 76/1990) establecio que solo alcanza a los hechos constatados directamente por el inspector, no a juicios de valor ni conclusiones tecnicas. Un informe pericial informatico que demuestre que los hechos tecnicos del acta son incorrectos o incompletos desvirtua la presuncion.
Cuanto cuesta un peritaje informatico para desvirtuar la presuncion de veracidad?
El coste tipico oscila entre 2.000 y 6.000 euros dependiendo de la complejidad del procedimiento administrativo. Frente a sanciones de la AEPD que oscilan entre 50.000 y 20 millones de euros, el retorno de la inversion puede superar el 100:1.
Términos Relacionados
Informe Pericial
Documento técnico-legal elaborado por un perito informático que presenta los resultados de un análisis forense digital con validez probatoria en procedimientos judiciales.
AEPD Compliance
Conjunto de obligaciones legales relacionadas con la Agencia Española de Protección de Datos, incluyendo notificación de brechas de seguridad en 72 horas y comunicación a afectados.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita