Datos antiguos, contratos deficientes y una sanción de 300.000 euros
Brecha de seguridad y exposición de datos
En el verano de 2023 una empresa tecnológica y proveedora de servicios de una gestoría de activos sufrió un ciberataque de tipo ransomware. La brecha no solo comprometió la seguridad de sus sistemas, sino que arrastró consigo información de la gestoría , incluyendo datos sensibles de extrabajadores que habían dejado la entidad hacía más de diez años. Nombres, DNIs y otros datos personales quedaron expuestos en un entorno vulnerable.
Contratos insuficientes y obligaciones del responsable
Cuando la Agencia Española de Protección de Datos investigó el caso, descubrió algo aún más preocupante: no solo se había puesto en riesgo la confidencialidad y disponibilidad de los datos, sino que además el contrato entre la gestoría y su encargado del tratamiento era insuficiente, porque se limitaba a cláusulas genéricas que no detallaban las medidas de seguridad a aplicar ni los plazos de conservación de la información. En otras palabras, la gestoría había dejado que datos antiguos siguieran existiendo innecesariamente en manos de su proveedor, convirtiéndose en un punto débil explotado por el ataque.
Las alegaciones de la gestoría no convencieron a la AEPD: ni la referencia a obligaciones fiscales ni la existencia formal de un contrato bastaron para evitar la responsabilidad. La autoridad fue clara al recordar que no sirve con reproducir fórmulas estándar en un contrato; es imprescindible definir de forma expresa qué medidas deben adoptarse, cómo se van a aplicar y durante cuánto tiempo se conservarán los datos. De lo contrario, el responsable incumple su obligación de supervisar, instruir y controlar activamente a sus encargados.
La sanción y sus consecuencias
El resultado fue contundente: 300.000 euros de multa (250.000 € por incumplir el principio de integridad y confidencialidad y 50.000 € por deficiencias en el contrato con el encargado). Con las reducciones por pago voluntario y reconocimiento de responsabilidad, la cifra podía bajar a 180.000 €, pero la lección era clara: los datos que se guardan de más y los contratos vacíos de contenido no solo aumentan el riesgo, sino que tarde o temprano terminan saliendo muy caros.
