La Agencia Española de Protección de Datos ha dictado resolución desestimando el recurso de reposición interpuesto por Santander Consumer Finance contra una sanción de 500.000 euros impuesta el 14 de febrero de 2025 en el expediente EXP202402612.
Cronología detallada de los hechos
El ciberataque y la cadena de responsabilidades
El incidente de seguridad se produjo en el contexto de una compleja cadena de subcontrataciones en el sector financiero. Santander Consumer Finance había cedido derechos de crédito a Orange España relacionados con la venta a plazos de terminales móviles. Orange España, actuando simultáneamente como responsable de los datos de compra y como encargado del tratamiento de Santander Consumer Finance, subcontrató a MARKTEL para gestionar el recobro de impagos.
11 de septiembre de 2022: Los atacantes lograron infiltrarse en los sistemas informáticos de MARKTEL sin ser detectados. Durante aproximadamente tres semanas, permanecieron dentro de la red realizando movimientos laterales entre servidores.
3 de octubre de 2022: El equipo técnico de MARKTEL detectó problemas de acceso en algunas aplicaciones. En ese momento comenzaron a observarse elementos cifrados en los servidores, señal característica de un ataque de ransomware. Aunque MARKTEL contaba con un sistema de protección antimalware que llegó a detectar movimientos laterales sospechosos, no fue capaz de contener el ataque.
5 de octubre de 2022: MARKTEL notificó formalmente la brecha de seguridad a la AEPD (registro REGAGE22e00044254458), reportando la afectación de datos básicos, documentos identificativos, datos económicos y de contacto.
17 de octubre de 2022: Se constató que los atacantes habían publicado información en una página de la Dark Web asociada al grupo criminal. La información publicada procedía de la tabla “Clientes” de la base de datos y contenía datos sin cifrar.
22 de octubre de 2022: Orange España notificó la brecha a la AEPD.
25 de octubre de 2022: Orange España comunicó a Santander Consumer Finance la afectación de datos de sus clientes.
29 de octubre de 2022: Santander Consumer Finance notificó formalmente la brecha a la AEPD (registro REGAGE22e00048731676).
4 de noviembre de 2022: Orange España remitió una primera comunicación a los afectados, aunque sin hacer referencia a Santander Consumer Finance como responsable del tratamiento. MARKTEL dio por resuelto técnicamente el incidente en esta fecha.
10 de noviembre de 2022: La AEPD ordenó a Santander Consumer Finance comunicar sin dilación indebida la brecha a todos los afectados.
15 de diciembre de 2022: Santander Consumer Finance notificó una actualización de la brecha por cambio sustancial de información. Tras investigaciones posteriores, se descubrió que el número de afectados era mayor al inicialmente estimado y que en algunos casos adicionales el fichero robado contenía códigos IBAN completos sin ofuscar.
Entre el 7 y 16 de diciembre de 2022: Santander Consumer Finance, a través de Orange España como encargado, procedió finalmente a comunicar la brecha a los clientes afectados mediante diversos medios.
La información comprometida
La tabla “Clientes” filtrada contenía datos personales de clientes que habían adquirido terminales móviles a plazos y cuyas deudas habían sido cedidas a Santander Consumer Finance. Los campos comprometidos incluían:
- DNI (sin cifrar)
- Nombre y apellidos completos
- Número de teléfono
- Dirección de correo electrónico
- Dirección postal completa (calle, número, localidad, código postal)
- Fecha de nacimiento
- Números de cuenta IBAN: en algunos casos aparecían sin ofuscar, mientras que en otros registros estaban ofuscados o no se incluía este dato
El marco contractual deficiente
Un elemento clave del caso fue el contrato de encargado del tratamiento suscrito el 7 de julio de 2015 entre Orange España y Santander Consumer Finance. Este contrato establecía que debían aplicarse “medidas de nivel medio”, referencia al sistema de niveles de seguridad de la antigua Ley Orgánica de Protección de Datos (LOPD), vigente hasta 2018.
El problema radica en que este sistema de niveles estándar fue superado por el RGPD, que entró en aplicación el 25 de mayo de 2018 y establece un modelo basado en el análisis de riesgos específicos de cada tratamiento y la implementación de medidas apropiadas a dichos riesgos.
Adicionalmente, Santander Consumer Finance informó a la AEPD que el 2 de enero de 2020 recibió notificación de Orange España comunicando su intención de no prorrogar el contrato de prestación de servicios. Sin embargo, acordaron mantener la gestión de los créditos ya cedidos hasta su total percepción o finalización de los servicios de recobro.
Durante todo este periodo, el contrato de encargado del tratamiento nunca fue actualizado para adecuarse a las exigencias del RGPD, permaneciendo vigente con las insuficientes “medidas de nivel medio” del régimen anterior.
Posteriormente, Orange España firmó un contrato con MARKTEL el 1 de enero de 2022 (con vigencia retroactiva) que sí incluía referencias al RGPD y obligaciones de seguridad más acordes con la normativa vigente. Sin embargo, la relación entre Santander Consumer Finance y Orange España continuó rigiéndose por el contrato obsoleto de 2015.
Principales alegaciones del recurso
Santander Consumer Finance articuló su recurso en cinco motivos principales:
Primera alegación: Cuestionó las obligaciones de la División de Innovación y Tecnología, sosteniendo que cuando esta división comunicó que “no están previstas más acciones” generó expectativas legítimas de archivo, invocando vulneración de los principios de confianza legítima, buena fe y seguridad jurídica.
Segunda alegación: Alegó vulneración del principio de presunción de inocencia, argumentando que no existían pruebas que acreditaran que las medidas implementadas fueran insuficientes o que el cifrado hubiera evitado el ciberataque.
Tercera alegación: Sostuvo que la exigencia de cifrado habría imposibilitado la prestación del servicio encomendado al subencargado, y que la AEPD realizaba una valoración resultista sin considerar la influencia determinante de un grupo criminal internacional.
Cuarta alegación: Argumentó la ausencia de responsabilidad del encargado del tratamiento, señalando que no se había cuestionado el contrato entre Orange España y MARKTEL.
Quinta alegación: Denunció la desproporción de la sanción impuesta, comparándola con otros expedientes similares que fueron archivados o resultaron en multas inferiores.
Argumentación de la AEPD
La Agencia desestimó todas las alegaciones con los siguientes razonamientos:
Respecto a las actuaciones previas de investigación, la AEPD recordó que el artículo 67 de la LOPDGDD le habilita para llevar a cabo actuaciones previas antes del acuerdo de inicio, sin que exista obligación de justificar ante el investigado las razones del inicio de dichas actuaciones.
Sobre la presunción de inocencia, la resolución subraya que la vulneración imputada deriva del incumplimiento del artículo 5.1.f) del RGPD, que obliga a tratar los datos garantizando su seguridad adecuada mediante medidas técnicas u organizativas apropiadas. La pérdida de confidencialidad quedó acreditada objetivamente por el acceso no autorizado y la posterior publicación de datos sin cifrar.
En cuanto a las medidas de seguridad, la AEPD señala que el RGPD establece un sistema basado en responsabilidad proactiva que supera el antiguo modelo de niveles de seguridad estándar. Cada responsable debe implementar medidas apropiadas según los riesgos específicos de sus tratamientos, considerando la naturaleza, alcance, contexto y fines del tratamiento.
La resolución destaca especialmente que Santander Consumer Finance, como responsable del tratamiento, tenía la obligación de evaluar los riesgos para los derechos y libertades de las personas físicas e implantar medidas adecuadas. El contrato con Orange España, que exigía únicamente “medidas de nivel medio”, resultaba insuficiente conforme a los requisitos del RGPD.
Citando la STS 1562/2020, la AEPD subraya que el responsable del tratamiento no puede quedar exonerado de responsabilidad por la existencia de un encargado, especialmente cuando no adoptó medidas para asegurar que el encargado y el subencargado implementaran seguridad adecuada.
Sobre la proporcionalidad de la sanción, la resolución recuerda que el artículo 83.5 del RGPD permite multas de hasta 20.000.000 euros o el 4% del volumen de negocio anual global. Considerando que el 4% del volumen de negocio de Santander Consumer ascendía a 2.084.680.000 euros, la multa de 500.000 euros representa apenas el 0,024% de dicho límite.
La AEPD reitera que no existe un criterio de archivo automático en casos de ciberataques con ransomware. Cada caso debe analizarse atendiendo a sus circunstancias específicas, especialmente las medidas preventivas existentes y las adoptadas para gestionar el incidente.
La resolución señala que la responsabilidad no deriva de la mera ocurrencia del ciberataque (lo que sería responsabilidad objetiva), sino del incumplimiento de las obligaciones de seguridad establecidas en el RGPD, concretamente por no haber implementado medidas como el cifrado que hubieran dificultado o impedido el acceso a la información.
