La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 120.000 euros a la cadena deportiva Décimas tras una brecha de seguridad que dejó expuestos los datos personales de más de 331.000 clientes. El caso se ha convertido en un nuevo aviso para las empresas sobre la importancia de reforzar sus sistemas de ciberseguridad y vigilancia digital.
Según la resolución del expediente sancionador EXP202408867, la filtración comprometió información sensible como direcciones de correo electrónico, fechas de nacimiento, género y números de DNI de un total de 331.809 usuarios. La intrusión se produjo mediante una técnica de inyección SQL, utilizada para explotar vulnerabilidades en aplicaciones web y acceder a bases de datos corporativas.
INCIBE detectó el ataque antes que la empresa
Uno de los aspectos más relevantes del caso es que la compañía no descubrió el incidente por sus propios medios. Fue el Instituto Nacional de Ciberseguridad (INCIBE) quien alertó a la empresa el 26 de abril de 2024 tras localizar los datos comprometidos circulando y siendo ofertados en Internet. Posteriormente, Décimas confirmó la existencia de la brecha junto a la empresa encargada del tratamiento de datos y notificó el incidente a la AEPD.
La Agencia considera especialmente grave esta falta de detección temprana y entiende que la empresa no disponía de mecanismos adecuados de monitorización, revisión de vulnerabilidades ni respuesta efectiva ante incidentes de seguridad.
La AEPD endurece los criterios de ciberseguridad
La resolución marca un endurecimiento del criterio de la AEPD respecto a las obligaciones de protección de datos y ciberseguridad empresarial. El organismo ya no evalúa únicamente si existen medidas de seguridad “sobre el papel”, sino también si las compañías cuentan con sistemas reales y eficaces de supervisión continua y detección activa de amenazas.
Además, el expediente eleva el nivel de sensibilidad del DNI dentro de los procesos sancionadores, considerando especialmente grave su exposición en incidentes de este tipo. Esto podría influir en futuras sanciones relacionadas con fugas de información personal.
La ciberseguridad, una prioridad empresarial
El caso de Décimas refleja el creciente impacto económico, reputacional y legal de los ciberataques sobre las empresas. En un contexto de amenazas digitales cada vez más sofisticadas, las organizaciones no solo deben implantar medidas de seguridad técnicas, sino también desarrollar protocolos de supervisión continua, auditorías periódicas y planes de respuesta rápida ante incidentes.
Expertos en protección de datos advierten de que la prevención y la capacidad de reacción son ya elementos clave para cumplir con el Reglamento General de Protección de Datos (RGPD) y evitar sanciones económicas o daños reputacionales de gran alcance.
¿Qué datos personales quedaron expuestos?
Entre los datos comprometidos se encontraban correos electrónicos, fechas de nacimiento, género y números de DNI de los usuarios afectados.
¿Qué es una inyección SQL?
La inyección SQL es una técnica utilizada por ciberdelincuentes para explotar vulnerabilidades en aplicaciones web y acceder de forma no autorizada a bases de datos empresariales.
¿Cómo se descubrió la brecha de seguridad?
El incidente fue detectado inicialmente por el Instituto Nacional de Ciberseguridad (INCIBE), que alertó a la empresa tras encontrar los datos filtrados circulando en Internet.
¿Qué multa impuso la AEPD a Décimas?
La AEPD impuso una sanción económica de 120.000 euros por incumplimientos relacionados con la seguridad y protección de datos personales.
¿Qué obligaciones tienen las empresas según el RGPD?
Las empresas deben aplicar medidas técnicas y organizativas adecuadas para proteger los datos personales, prevenir accesos no autorizados y detectar incidentes de seguridad de forma temprana.
¿Por qué es importante monitorizar posibles ciberataques?
La monitorización continua permite detectar vulnerabilidades y ataques antes de que provoquen filtraciones masivas de datos, reduciendo el impacto económico, legal y reputacional.
¿Qué consecuencias puede tener una brecha de seguridad para una empresa?
Además de sanciones económicas, una brecha puede provocar pérdida de confianza de clientes, daños reputacionales, interrupciones operativas y posibles reclamaciones legales.
Fuente: Confilegal
Casos como el de Décimas demuestran que una brecha de seguridad puede tener un impacto económico, legal y reputacional muy elevado. Cumplir con el RGPD no es solo una obligación, sino una necesidad estratégica para cualquier organización que gestione datos personales.
En Forlopd ayudamos a empresas a prevenir sanciones y a reforzar su seguridad en el tratamiento de datos personales mediante soluciones integrales de protección de datos y ciberseguridad.
Nuestros servicios incluyen auditorías RGPD, implantación de medidas de seguridad, análisis de riesgos, protocolos de respuesta ante incidentes, formación en protección de datos y asesoramiento continuo para garantizar el cumplimiento normativo.
Escríbenos y refuerza la confianza de tus clientes para evitar sanciones como la de este caso.
