Resolución de la AEPD de 9 de julio de 2025 (Expediente EXP202318311)
La Agencia Española de Protección de Datos ha resuelto el procedimiento sancionador iniciado contra la Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria, S.A. (SAREB), imponiendo una sanción de 300.000 euros —reducida a 180.000 euros por reconocimiento de responsabilidad y pago voluntario— como consecuencia de una brecha de seguridad que afectó a datos personales de exempleados.
Esta resolución resulta de especial interés por cuanto aborda dos cuestiones fundamentales en materia de protección de datos: las medidas de seguridad exigibles en el tratamiento de datos personales (artículo 5.1.f del RGPD) y el alcance de las obligaciones del responsable en la relación con sus encargados del tratamiento (artículo 28 del RGPD).
I. Antecedentes de hecho
Cronología del incidente
En agosto de 2023, la empresa Stratesys Technology Solutions, S.L. —que prestaba servicios de gestión de nóminas y recursos humanos a SAREB en calidad de encargado del tratamiento— sufrió un ciberataque de tipo ransomware que comprometió la confidencialidad y disponibilidad de datos personales.
El día 28 de agosto de 2023 se detectó el cifrado de archivos en los servidores de la compañía. Posteriormente, el 26 de septiembre, el equipo de ciberseguridad de Stratesys localizó en la Dark Web información exfiltrada que incluía datos de clientes, entre ellos SAREB.
Datos afectados
La brecha afectó aproximadamente a 360 personas vinculadas a SAREB, incluyendo exempleados cuya relación laboral había finalizado, en algunos casos, desde el año 2013. Las categorías de datos personales comprometidos fueron:
- Datos identificativos: DNI, nombre y apellidos
- Datos de contacto: teléfono, email y dirección postal
- Fecha de nacimiento
- Datos económicos y laborales
Debe destacarse que entre los afectados se encontraban datos de menores de edad, circunstancia que la AEPD ha considerado como factor agravante.
Notificación de la brecha
Stratesys notificó la brecha a la AEPD el 30 de agosto de 2023, ampliando la información el 26 de septiembre. Por su parte, SAREB realizó su notificación el 6 de octubre de 2023, tras tener conocimiento del alcance de la afectación de datos bajo su responsabilidad.
II. Infracciones imputadas
La AEPD ha apreciado la comisión de dos infracciones diferenciadas:
A) Infracción del artículo 5.1.f) del RGPD – Principio de integridad y confidencialidad
Sanción propuesta: 250.000 euros
El artículo 5.1.f) del RGPD establece que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
La investigación de la AEPD constató que no existían medidas técnicas adecuadas para garantizar la confidencialidad de los datos:
- Ausencia de cifrado: Los datos personales se encontraban almacenados en texto plano, sin aplicación de técnicas de cifrado, seudonimización o anonimización que hubieran impedido su legibilidad tras la exfiltración.
- Deficiente segmentación de sistemas: Se acreditó que datos de SAREB se encontraban almacenados en servidores correspondientes a otros clientes como consecuencia de un error humano, lo que evidencia una inadecuada segregación de infraestructuras.
- Ausencia de medidas preventivas suficientes: Las medidas de seguridad implementadas no resultaron apropiadas al riesgo que suponía el tratamiento de datos sensibles, entre ellos el DNI.
La Agencia subraya que el DNI constituye un dato especialmente sensible por su capacidad de permitir la identificación directa e inequívoca de las personas y facilitar la suplantación de identidad, lo que incrementa el riesgo para los derechos y libertades de los interesados.
B) Infracción del artículo 28 del RGPD – Relación con el encargado del tratamiento
Sanción propuesta: 50.000 euros
El artículo 28.3 del RGPD exige que el tratamiento por el encargado se rija por un contrato que establezca, entre otros aspectos, el objeto, la duración, la naturaleza y finalidad del tratamiento, así como las obligaciones y derechos del responsable.
La AEPD ha considerado que el contrato de encargo del tratamiento suscrito entre SAREB y Stratesys presentaba deficiencias sustanciales:
- Ausencia de plazos de conservación específicos: El contrato no establecía períodos concretos de conservación de los datos por parte del encargado, limitándose a prever la supresión o devolución de datos al finalizar la prestación del servicio.
- Conservación excesiva de datos: Como consecuencia de lo anterior, se conservaban datos de personas cuya relación laboral había finalizado hacía más de diez años, sin justificación adecuada y en contradicción con el principio de limitación del plazo de conservación (artículo 5.1.e del RGPD).
- Instrucciones genéricas: Las previsiones contractuales relativas a medidas de seguridad se limitaban a enunciar objetivos generales, sin concretar medidas técnicas y organizativas específicas.
- Falta de supervisión efectiva: No consta que SAREB ejerciera una supervisión activa del cumplimiento de las obligaciones por parte del encargado, pese a que el contrato contemplaba la posibilidad de realizar auditorías.
III. Criterios de graduación aplicados
La AEPD ha aplicado los criterios de graduación previstos en el artículo 83.2 del RGPD y 76.2 de la LOPDGDD, considerando especialmente:
Circunstancias agravantes:
- Negligencia grave (art. 83.2.b RGPD): La ausencia de cifrado de datos sensibles y la deficiente gestión del contrato de encargado denotan una falta de diligencia significativa.
- Naturaleza de los datos (art. 83.2.g RGPD): La afectación del DNI, considerado dato particularmente sensible por su capacidad de causar daños inmediatos al interesado.
- Afectación a menores (art. 76.2.f LOPDGDD): La presencia de datos de menores entre los afectados constituye un factor cualificado de gravedad.
- Número de afectados y duración: Aproximadamente 360 personas, con datos conservados en algunos casos durante más de diez años.
IV. Argumentos de la entidad y respuesta de la AEPD
SAREB planteó en sus alegaciones la ausencia de responsabilidad basándose en dos argumentos principales:
1. El incidente se produjo en sistemas del encargado del tratamiento
La entidad alegó que el ciberataque tuvo lugar en la infraestructura de Stratesys y que existía un contrato de encargado del tratamiento regulando la relación.
La AEPD rechazó este argumento, recordando que el responsable del tratamiento responde de las actuaciones de sus encargados, salvo que estos hubieran actuado como verdaderos responsables decidiendo sobre fines y medios del tratamiento (artículo 28.10 RGPD).
La Agencia subrayó que la nueva regulación del RGPD amplía las obligaciones y el ámbito de responsabilidad del responsable, extendiéndose de manera clara a las actuaciones realizadas por sus encargados. La mera existencia de un contrato de encargo no exime de responsabilidad si este no contiene previsiones adecuadas y si el responsable no ejerce una supervisión efectiva.
2. Cumplimiento formal de las obligaciones contractuales
SAREB sostuvo que había dado cumplimiento al artículo 28 del RGPD mediante la suscripción del contrato de encargo.
La AEPD señaló que el contrato de encargo no puede limitarse a reproducir genéricamente la redacción del artículo 28.3 del RGPD, siendo necesario que contenga previsiones concretas adaptadas a las características específicas del tratamiento encomendado.
En particular, el responsable debe establecer instrucciones precisas sobre aspectos esenciales como los plazos de conservación de datos, que deben ser coherentes con los aplicables al responsable en virtud del principio de limitación del plazo de conservación.
V. Doctrina aplicable: responsabilidad del responsable por actuaciones del encargado
La resolución reproduce la doctrina consolidada por el Tribunal Supremo en esta materia, citando expresamente la STS 1562/2020, de 15 de junio, que establece:
“La concurrencia, en el presente supuesto, de un encargado del tratamiento […] en absoluto exime de responsabilidad a la entidad […] ahora recurrente, y ello a pesar de la contundencia de las cláusulas que figuran en el contrato y anexo al mismo firmados por ambas compañías”.
El Tribunal Supremo ha precisado que las medidas de seguridad y cautelas necesarias para garantizar los derechos de los interesados subsisten aunque el tratamiento no se realice con los propios recursos del responsable, sino mediante encargados del tratamiento.
VI. Alcance del principio de responsabilidad proactiva
La resolución incide en la evolución desde el sistema de cumplimiento de la anterior LOPD al actual modelo de responsabilidad proactiva del RGPD:
- Sistema anterior (LOPD): Medidas de seguridad estándar y estáticas aplicables a cualquier responsable.
- Sistema actual (RGPD): Medidas propias para cada organización, adaptadas a sus características específicas y a los riesgos concretos, con carácter dinámico y evolutivo.
El responsable debe poder demostrar que ha tomado en consideración todos los elementos previstos en el RGPD (artículo 5.2), lo que incluye establecer en su relación con el encargado modalidades claras de asistencia, dar instrucciones precisas sobre su cumplimiento, documentarlas adecuadamente y verificar su efectividad durante la vigencia del contrato.
VII. Medidas correctivas impuestas
Además de la sanción pecuniaria, la AEPD ha ordenado a SAREB que, en el plazo de tres meses desde la firmeza de la resolución, adopte las siguientes medidas:
- Acreditar la aplicación efectiva de medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los principios de integridad y confidencialidad, implementando medidas de seguridad adaptadas a los riesgos.
- Acreditar la celebración y vigencia del correspondiente contrato de encargo del tratamiento con quien desarrolle actualmente las funciones objeto del expediente, con contenido adaptado al artículo 28 del RGPD.
