La ciberseguridad se ha convertido en uno de los grandes desafíos de las organizaciones en nuestros días. El Reglamento General de Protección de Datos (RGPD) no solo establece obligaciones respecto al tratamiento lícito, leal y transparente de la información, también exige que responsables y encargados del tratamiento implementen medidas técnicas y organizativas que garanticen la seguridad de los datos frente a incidentes que cada vez son más sofisticados.
En este contexto, la reciente resolución de la Agencia Española de Protección de Datos (AEPD) sobre un incidente de ransomware sufrido por un club de fútbol de Primera División adquiere especial relevancia. La sanción, inicialmente de 110.000 euros y finalmente reducida a 66.000 por reconocimiento de responsabilidad y pago voluntario, nos muestra cómo la insuficiencia de medidas de seguridad puede derivar no solo en la afectación masiva de datos personales (aproximadamente 60.000 interesados), sino también en una respuesta contundente de la autoridad de control.
El análisis de este caso nos puede ofrecer lecciones prácticas para cualquier entidad, más allá del ámbito deportivo.
El incidente: una brecha de disponibilidad y confidencialidad
El ataque se produjo en el mes de octubre de 2023 y consistió en la propagación de un ransomware de la familia Akira. Los sistemas de la entidad quedaron encriptados bloqueando el acceso a la información. El punto de entrada más probable fue la VPN corporativa, aunque la falta de telemetría impidió reconstruir con certeza toda la cadena de ataque.
La consecuencia inmediata fue la pérdida de acceso a la totalidad de los servidores virtualizados. El club reconoció que sus copias de seguridad, alojadas en el mismo entorno afectado, también habían sido cifradas, por lo que carecieron de utilidad práctica en el momento crítico en que debían servir de salvaguarda.
La información comprometida era de enorme alcance y sensibilidad: datos identificativos básicos como nombre, apellidos o fecha de nacimiento; documentación oficial como DNI, NIE o pasaporte; imágenes en forma de fotografías y vídeos; información económica y financiera, sin incluir medios de pago; datos de localización y contacto; y, de manera especialmente grave, datos de categoría especial en los términos del artículo 9 RGPD, como los datos biométricos y los datos de salud vinculados a empleados y jugadores.
Aunque no se acreditó una filtración de la información, la AEPD calificó la brecha como de confidencialidad y disponibilidad. Esto es relevante: aun sin p0rueba de filtración a terceros, el simple hecho de que la información no estuviera disponible, o de que pudiera haber quedado expuesta por carecer de cifrado, constituye una violación de seguridad en los términos del artículo 4.12 del RGPD.
Carencias estructurales
La resolución subraya principalmente tres fallos. En primer lugar, la ausencia de segmentación de red, que permitió al ransomware propagarse sin limitaciones a todos los servidores. En segundo lugar, la deficiente gestión de las copias de seguridad, almacenadas en el mismo entorno que fue afectado, lo que convirtió a esas copias en inútiles. En tercer lugar, la inexistencia de cifrado en los datos personales, lo que aumentó el riesgo y la gravedad de la brecha.
A estos elementos se añadió otro aspecto a tener en cuenta: la inconsistencia de la documentación aportada por el club en relación con el Registro de Actividades de Tratamiento (RAT), los análisis de riesgos y las evaluaciones de impacto. La AEPD destacó que, aunque existían documentos, carecían de fechas y no reflejaban una aplicación real y efectiva de medidas de seguridad. La entidad cumplía formalmente con ciertas obligaciones, pero sin evidencias claras de que los instrumentos se hubieran implementado de forma realmente operativa.
El análisis jurídico de la AEPD
El procedimiento sancionador se fundamenta en dos disposiciones del RGPD que actúan como ejes de la seguridad de los datos personales:
- El artículo 5.1 f), que incorpora el principio de integridad y confidencialidad, exige que los datos sean tratados de manera que se garantice una seguridad adecuada, incluyéndose expresamente la protección frente al acceso no autorizado, la pérdida o la destrucción accidental.
- El artículo 32, relativo a la seguridad del tratamiento, obliga a responsables y encargados del tratamiento a adoptar medidas técnicas y organizativas apropiadas al riesgo, atendiendo al estado de la técnica, los costes de aplicación, la naturaleza de los datos y las finalidades del tratamiento.
La AEPD destacó que la infracción de estos preceptos anteriormente mencionados no requiere probar una intención dolosa por parte de la entidad, sino que bastaría con acreditar la insuficiencia de las medidas adoptadas. La ausencia de segmentación, el almacenamiento inadecuado de copias de seguridad y la falta de cifrado constituirían incumplimientos claros de la obligación de aplicar medidas proporcionales al riesgo.
La tipificación jurídica de las infracciones se apoyó en el artículo 83.5 del RGPD (para el incumplimiento del principio del artículo 5.1 f), con multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual) y en el artículo 83.4 (para la vulneración del artículo 32, con multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual).
La graduación de la sanción
La AEPD fijó la multa en 110.000 euros considerando la naturaleza y la gravedad de la infracción, la duración del incidente, el elevado número de afectados y la categoría de los datos comprometidos. Resulta especialmente destacable la referencia a la combinación de información sensible: no solo identificadores básicos o datos de contacto, sino también datos biométricos y de salud, cuya protección requiere un nivel reforzado de medidas.
Al mismo tiempo, la Agencia valoró como agravante la vinculación de la actividad de la entidad con el tratamiento continuo y masivo de datos personales. En el caso analizado, la operativa propia de un club de Primera División exige gestionar datos de abonados, empleados, jugadores y patrocinadores, lo que incrementa la responsabilidad de la organización respecto a la protección de la información.
Finalmente, en aplicación del artículo 85 de la Ley 39/2015, la entidad se acogió a la posibilidad de reconocer responsabilidad y realizar el pago voluntario, lo que permitió una reducción del 40 % de la sanción, dejándola en 66.000 euros.
Más allá de la sanción: las obligaciones correctivas
La resolución no se limitó a imponer una sanción económica. La AEPD exigió también la acreditación de medidas correctivas en el plazo de tres meses. En concreto, se ordenó al club implementar controles que garantizasen la adecuada segmentación de la red, reforzar la estrategia de copias de seguridad y adoptar medidas de cifrado eficaces para los datos personales, especialmente aquellos de categoría especial.
Este punto es fundamental: el RGPD no se limita solo a imponer sanciones económicas. El artículo 58 otorga a las autoridades de control poder para ordenar modificaciones concretas en las operaciones de tratamiento. La sanción económica, por tanto, es solo una parte de la respuesta. El verdadero objetivo es asegurar que la organización se adecúe al nivel de seguridad exigido.
Reflexiones y lecciones para las organizaciones
Este caso resulta muy ilustrativo, ya que deja ver varias ideas clave. La primera es que la seguridad no puede ser entendida como una cuestión secundaria. La ausencia de segmentación de red o de cifrado no son simples descuidos técnicos, sino incumplimientos jurídicos que pueden acarrear consecuencias económicas y reputacionales muy graves.
La segunda lección es que las copias de seguridad no bastan por sí solas. No importa cuántas copias se realicen si todas se encuentran en el mismo entorno. La disponibilidad de los datos exige estrategias de backup diversificadas y verificadas periódicamente mediante simulacros de restauración.
En tercer lugar, este procedimiento subraya la importancia del principio de responsabilidad proactiva. El RGPD no se limita a exigir que se cumplan las obligaciones, sino que obliga a demostrar que las medidas adoptadas deben ser adecuadas y eficaces. La falta de fecha en documentos esenciales como análisis de riesgos o evaluaciones de impacto pone de manifiesto que no se trataba de instrumentos vivos y útiles, sino de formalidades sin valor real.
Por último, conviene destacar que el caso reafirma la línea jurisprudencial y administrativa según la cual no es necesario que se produzca una filtración o un daño para que exista una violación de seguridad. Basta con que los datos queden inaccesibles o expuestos a un riesgo indebido para que se entienda vulnerado el RGPD.
Conclusión
La resolución analizada demuestra que el ransomware no solo paraliza sistemas, sino que también activa mecanismos de responsabilidad administrativa. La sanción de la AEPD a este club de Primera División refuerza la idea de que la seguridad de los datos es una obligación jurídica, no un simple elemento técnico.
Las organizaciones deben entender que la verdadera pregunta no es si sufrirán un ataque, sino cuándo ocurrirá y si estarán preparadas para afrontarlo. La segmentación de redes, el cifrado de la información y una estrategia firme de copias de seguridad no son recomendaciones opcionales, sino requisitos imprescindibles para cumplir con el RGPD y para proteger un activo como la confianza de los interesados.
Si quieres conocer más sobre el ámbito deportivo y la protección de datos, puedes consultar otras entradas de nuestro blog pinchando [aquí] y [aquí].
