La Agencia Española de Protección de Datos (AEPD) ha sancionado a una organización con una multa de 180.000 euros por dos infracciones graves del Reglamento General de Protección de Datos (RGPD), tras un incidente de seguridad sufrido por el proveedor tecnológico de dicha organización.
La brecha de seguridad tuvo su origen tras un ciberataque de tipo ransomware que afectó al proveedor tecnológico de la organización sancionada. El incidente comprometió tanto la confidencialidad como la disponibilidad de datos personales de personal, no sólo personal activo sino también de personas que ya no formaba parte de la organización. Algunos de ellos sujetos a relaciones laborales que había finalizado en 2013, lo que evidenció fallos en la política de conservación y supresión de datos de la organización.
Aunque el ataque no llegó a materializar la publicación de la información sustraída, la AEPD concluyó que los ciberatancantes tuvieron acceso efectivo a los datos, incluyendo números de DNI, considerados especialmente sensibles por su potencial de suplantación de identidad y riesgo patrimonial.
La AEPD declaró a la organización responsable de dos infracciones graves del RGPD:
Falta de medidas de seguridad adecuadas (art. 5.1.f RGPD)
- Apreció negligencia grave al no haber aplicado medidas técnicas y organizativas suficientes para garantizar la integridad y confidencialidad de los datos.
- La resolución detalla que las carencias detectadas facilitaron el acceso y exfiltración de información, subrayando que la seguridad implantada resultaba insuficiente y posterior al incidente.
Deficiencias en el contrato de encargado del tratamiento (art. 28 RGPD)
- El contrato suscrito entre la organización sancionada y su proveedor tecnológico carecía de previsiones claras sobre los plazos de conservación de los datos personales tratados por cuenta del responsable. Esta omisión permitió que información obsoleta o innecesaria permaneciera almacenada y se viera comprometida en el ataque, lo que vulnera el principio de limitación del plazo de conservación.
La resolución recuerda que el responsable del tratamiento responde también por los incumplimientos cometidos por su proveedor, salvo que dicho proveedor actúe como responsable independiente, lo que no ocurrió en este caso. La AEPD incide en que imponer obligaciones formales (es decir, en el contrato) no exime de supervisar su cumplimiento efectivo.
La multa inicial ascendía a 300.000 euros (250.000 € por la infracción del art. 5.1.f y 50.000 € por la del art. 28).
La organización se acogió a las reducciones del 40% por reconocimiento de responsabilidad y pronto pago, quedando la sanción definitiva en 180.000 euros.
La AEPD ordenó además la adopción de medidas correctivas en el plazo de tres meses, destinadas a acreditar la existencia de medidas técnicas y organizativas adecuadas y la adecuación de los contratos de encargo a lo dispuesto en el artículo 28 RGPD.
Lecciones para las organizaciones
La resolución constituye un ejemplo más sobre la responsabilidad del responsable del tratamiento en contextos de externalización de servicios tecnológicos. Entre las principales conclusiones que se desprenden:
- La supervisión continua de los proveedores es una obligación, no una formalidad. No basta con suscribir contratos de encargo: deben incluir instrucciones específicas, plazos de conservación y mecanismos de control. Por eso son muy importantes los controles periódicos de encargados de tratamiento y que estos sean respondidos por los proveedores.
- Los datos antiguos deben eliminarse cuando los plazos de prescripción legal han terminado, como último paso del bloqueo previo. Mantener información innecesaria incrementa el impacto potencial de cualquier incidente de seguridad.
- El principio de “Responsabilidad Proactiva” exige evidencias. La carga de la prueba recae en el responsable, que debe poder demostrar la implantación efectiva de medidas técnicas y organizativas.
- Como ya viene incidiendo en ello la AEPD en los últimos años, el DNI es un dato de alto riesgo. La AEPD lo califica como identificador especialmente sensible, dado su potencial para causar perjuicios graves en caso de uso indebido.
Esta resolución de la AEPD refuerza el mensaje de que la seguridad de los datos externalizados es una responsabilidad compartida. El responsable debe garantizarla de principio a fin, sin perjuicio de que el servicio esté subcontratado con proveedores tecnológicos.
La sanción a esta organización se convierte así en una advertencia para todas las organizaciones que gestionan información personal a través de proveedores, especialmente en un contexto de creciente exposición a ciberataques y riesgos derivados de la retención prolongada de datos.
Redactado por Elena, a fecha 03 de noviembre de 2025.