La Agencia Española de Protección de Datos ha dictado la Resolución PS/00373/2025 (Expediente EXP202401683), que pone fin al procedimiento sancionador seguido contra SPRINTER MEGACENTROS DEL DEPORTE, S.L. por vulneración del principio de integridad y confidencialidad a raíz de un ciberataque de tipo ransomware que comprometió datos personales de millones de clientes, empleados y exempleados en varios Estados miembros de la Unión Europea.
Hechos determinantes
El 27 de octubre de 2023, el equipo informático de SPRINTER detectó que varios servicios de su Datacenter habían perdido conectividad. La investigación reveló una intrusión por parte de un grupo atacante que había cifrado máquinas críticas mediante ransomware. El primer acceso ilegítimo se produjo el 24 de octubre de 2023, y durante los días siguientes los atacantes procedieron a la exfiltración de un volumen significativo de datos comprimidos y al despliegue del software malicioso.
La brecha afectó a un total de 6.381.913 personas, distribuidas de la siguiente manera: 6.351.300 clientes (España: 4.671.960; Francia: 10.351; Países Bajos: 1.167.068; Italia: 4.718; Portugal: 497.203), 8.831 empleados y 21.782 exempleados.
La tipología de datos comprometidos incluía, para clientes, datos identificativos y de contacto (nombre, apellidos, DNI/NIF, domicilio, teléfono, correo electrónico, fecha de nacimiento). Para empleados y exempleados, además de los anteriores, imagen, datos de salud relativos al grado de discapacidad y datos económicos (nóminas y número de cuenta bancaria).
Procedimiento de cooperación transfronteriza
Dado el carácter transfronterizo del tratamiento, la AEPD actuó como autoridad de control principal conforme al artículo 56.1 del RGPD, tramitándose el procedimiento a través del Sistema de Información del Mercado Interior (IMI). Las autoridades de control de Países Bajos, Suecia y Francia participaron como autoridades interesadas. La autoridad francesa formuló objeciones pertinentes y motivadas respecto al plazo y contenido de la comunicación de la brecha a los afectados, que fueron acogidas en el proyecto revisado.
Infracciones declaradas
Infracción del artículo 5.1.f) RGPD (integridad y confidencialidad)
La AEPD considera acreditado que las medidas técnicas y organizativas existentes en el momento del incidente no eran adecuadas para el riesgo de que un ciberataque de esta naturaleza tuviera lugar. La propia entidad reconoció inicialmente en su notificación de brecha que el incidente se podría haber evitado adoptando medidas de seguridad adicionales y que existían fallos o deficiencias en las medidas implementadas.
Del informe forense elaborado por los analistas externos se desprende que existían carencias significativas en la infraestructura de seguridad. Entre las deficiencias identificadas, la resolución destaca la ausencia de doble factor de autenticación en determinados accesos críticos, medida que fue implementada con posterioridad al incidente.
Prescripción de la infracción del artículo 34 RGPD
La AEPD constató asimismo un posible incumplimiento del deber de comunicación de la brecha a los afectados, tanto por el plazo (un mes desde el conocimiento de la brecha) como por el contenido incompleto de la comunicación, que no incluyó descripción de las medidas adoptadas para remediar la violación. No obstante, al tratarse de una infracción calificada como leve conforme al artículo 74.ñ) de la LOPDGDD, con plazo de prescripción de un año, la infracción se declaró prescrita en el momento de la apertura del procedimiento sancionador.
Graduación de la sanción
Para la determinación de la multa, la AEPD consideró como circunstancias relevantes: el elevadísimo número de afectados (más de 6 millones); la naturaleza y cantidad de datos personales comprometidos, incluyendo DNI (identificador nacional), datos de salud y datos financieros; la afectación a interesados en múltiples Estados miembros; y la vinculación de la actividad del infractor con tratamientos masivos de datos personales.
Tomando como referencia el volumen de negocio de SPRINTER (662.218.431 euros en 2024), la sanción máxima aplicable conforme al artículo 83.5 del RGPD ascendería al 4% del volumen de negocio (26.488.737 euros). La sanción propuesta inicialmente se fijó en 2.600.000 euros.
Terminación anticipada y medidas correctivas
La entidad sancionada se acogió al reconocimiento de responsabilidad y pago voluntario previstos en el artículo 85 de la LPACAP. La aplicación acumulada de ambas reducciones (40% total) determinó una sanción definitiva de 1.560.000 euros.
Adicionalmente, se ordena a SPRINTER que en el plazo de seis meses desde la firmeza de la resolución acredite la implementación efectiva de medidas organizativas y técnicas de seguridad, particularmente las relativas a los aspectos identificados como deficientes en el informe forense.
https://www.aepd.es/documento/ps-00373-2025.pdf
Expediente: EXP202401683 | Resolución PS/00373/2025 | AEPD