Tras identificar varios accesos sospechosos llevados a cabo mediante la cuenta de un usuario de la organización que se encontraba en periodo vacacional por un tercero ajeno a la misma, se inicia un análisis de las comunicaciones e intentos de conexión establecidos y se determina que se ha localizado información de carácter aparentemente sensible relativa a presupuestos, información personal e información privada de la entidad. En ese momento, se alerta al Real Madrid de una posible fuga de información por hacking en la página web de su fundación que supondría una quiebra de seguridad de datos personales.
Así, la Agencia Española de Protección de Datos (AEPD) lleva a cabo las oportunas investigaciones con el fin de determinar una posible vulneración de la normativa de protección de datos. La información a la que se habría podido acceder son datos identificativos y económicos contenidos en contratos, licencias federativas y presupuestos.Las categorías de interesados afectados por esta incidencia han sido personal de la entidad, incluyendo jugadores y técnicos. Sin embargo, el Real Madrid no considera que la información afectada pueda producir suplantaciones de identidad, perjuicios económicos, ni denegación de servicios; ni que con la misma se pueda ocasionar daños al honor o reputación de las personas afectadas en caso de hacerse pública.
De las investigaciones llevadas a cabo por la Agencia, se desprende que, con anterioridad a la brecha, la entidad disponía de medidas de seguridad razonables en función de los posibles riesgos. Igualmente, se disponía de las medidas técnicas y organizativas razonables para evitar este tipo de incidencia. Además, una vez detectada ésta, se notifica inmediatamente a la AEPD y se implementan medias para eliminarla junto con lo prescrito en el documento “Nuevas Medidas de Ciberseguridad”, que incluye medidas como el doble factor de autenticación y el cambio en las normas de uso de los portátiles para evitar que estos hechos se repitan.
Por todo lo anterior, la AEPD considera en su Resolución de este Procedimiento que la actuación de la entidad ha sido diligente y proporcional con la normativa sobre protección de datos personales y acuerda proceder al archivo de las actuaciones.