La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha resuelto un procedimiento sancionador contra un club de fútbol, imponiéndole una sanción de 110.000 euros (reducida finalmente a 66.000 euros por reconocimiento de responsabilidad y pago voluntario), por vulneración de los artículos 5.1.f) y 32 del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativos al principio de integridad y confidencialidad y a la seguridad del tratamiento .
El procedimiento se inició tras la notificación de una brecha de seguridad presentada por el club el 18 de octubre de 2023, derivada de un ciberataque con ransomware que afectó a más de 60.000 personas, incluyendo aficionados, empleados y proveedores, comprometiendo datos identificativos, financieros, de localización, imagen y, en el caso de trabajadores, también datos de salud.
En particular, la AEPD destaca los siguientes puntos:
- Magnitud de la brecha: El incidente comprometió datos personales de 246 afectados, lo que amplificó el riesgo de fraude, usurpación de identidad y perjuicios significativos para los interesados.
- Deficiencias de seguridad: La AEPD constató la existencia de medidas insuficientes de protección, especialmente en lo relativo a la prevención de accesos no autorizados y la resiliencia de los sistemas frente a ataques externos, lo que facilitó la materialización de la brecha.
- Infracciones apreciadas: Se acreditó la vulneración del principio de integridad y confidencialidad (art. 5.1.f RGPD) y de la obligación de garantizar la seguridad del tratamiento (art. 32 RGPD), ambas calificadas como muy graves de acuerdo con el artículo 83.5 RGPD y el artículo 72 LOPDygdd.
- Graduación de la sanción: La AEPD fijó la multa en 000 euros, teniendo en cuenta como agravantes el elevado número de afectados, la especial naturaleza de algunos de los datos comprometidos (incluidos datos de salud de empleados), y el riesgo sustancial derivado de la brecha.
- Medidas adicionales: Además de la sanción económica, la AEPD ordenó a la entidad informar en el plazo de tres meses sobre la implementación de las medidas correctoras previstas en el acuerdo de inicio, con el fin de garantizar la adecuación de los sistemas de seguridad.
- Terminación del procedimiento: La Real Sociedad reconoció su responsabilidad y se acogió al pago voluntario, lo que redujo la sanción a 66.000 euros y puso fin al procedimiento sancionador.
Esta resolución pone de relieve la exigencia reforzada de seguridad en el tratamiento de datos personales cuando se manejan volúmenes masivos de información y categorías sensibles como los datos de salud. La AEPD recuerda que el cumplimiento del RGPD requiere no solo disponer de medidas técnicas y organizativas, sino también garantizar su eficacia real y continuada frente a ciberataques cada vez más sofisticados.
