La Agencia Española de Protección de Datos (AEPD) ha confirmado la imposición de una sanción de 100.000 euros a una empresa tecnológica española, tras concluir que la compañía vulneró el principio de integridad y confidencialidad previsto en el artículo 5.1.f) del RGPD. La multa quedó finalmente en 60.000 euros, al acogerse la empresa al reconocimiento de responsabilidad y al pago voluntario dentro de los plazos previstos en la normativa.
El origen de la investigación se remonta a un ciberataque tipo ransomware detectado el 28 de agosto de 2023, que afectó a la confidencialidad y disponibilidad de los datos tratados por la empresa sancionada. La empresa había notificado previamente a la AEPD la existencia del incidente, ampliando información semanas después. Según la investigación, los atacantes accedieron a información almacenada en servidores internos y llegaron a extraer datos, aunque no existe constancia de que la información fuera publicada después.
La brecha afectó no solo a datos tratados por la empresa sancionada como encargado para diversos clientes, sino también a información de la que la empresa era responsable del tratamiento, fundamentalmente datos de sus propios empleados. La investigación de la AEPD detectó deficiencias técnicas y organizativas que facilitaron el ataque: la información comprometida estaba almacenada en un segmento del servidor más expuesto y existían fallos combinados que habilitaron el acceso ilícito.
Un particular, afectado por la brecha, presentó denuncia tras recibir una comunicación sobre el incidente. Esto motivó actuaciones inspectoras que incluyeron requerimientos de información, análisis forenses y la comprobación de las medidas de seguridad adoptadas con anterioridad al ataque. El informe técnico externo aportado por la empresa sancionada evidenció debilidades de seguridad y enumeró 61 controles de seguridad recomendados, cuya implementación se encontraba todavía parcial o sin confirmar.
Tras valorar la gravedad del incidente, la naturaleza de los datos afectados y la negligencia en la adopción de medidas preventivas, la AEPD propuso una multa de 100.000 euros. La resolución también contempla medidas correctivas, entre ellas la obligación de que la empresa sancionada acredite en tres meses la implantación efectiva de medidas necesarias.