La Agencia Española de Protección de Datos ha resuelto el procedimiento sancionador PS/00312/2025, declarando que la empresa STRATESYS TECHNOLOGY SOLUTIONS, S.L. infringió el principio de integridad y confidencialidad establecido en el artículo 5.1.f) del RGPD. El procedimiento ha concluido por reconocimiento de responsabilidad y pago voluntario, con una sanción final de 60.000 euros tras la aplicación de las reducciones legalmente previstas.
Origen del procedimiento
Con fecha de 30/08/2023 se notificó a esta Agencia por parte de la sociedad STRATESYS TECHNOLOGY SOLUTIONS S.L. una brecha de datos personales categorizada como de confidencialidad y disponibilidad. Conforme a ambos escritos, dicha empresa había sufrido un ciberataque que afectó a la confidencialidad y disponibilidad de los datos personales que trataba.
Según la cronología de los hechos, la fecha estimada de inicio de la brecha es el 24 de agosto de 2023 y que la fecha de detección es el 28 de agosto de 2023, detectada mediante medios de detección implementados proactivamente por el responsable o encargado de tratamiento.
Ámbito del procedimiento sancionador
La AEPD precisa que el presente expediente sancionador se refiere a las presuntas infracciones cometidas por STRATESYS en su calidad de responsable del tratamiento de datos personales , diferenciando esta condición de su actuación como encargado del tratamiento respecto a otras empresas clientes.
La resolución constata que la brecha también habría afectados a datos respecto a los cuales STRATESYS actúa como responsable del tratamiento , principalmente los datos de sus propios empleados.
Naturaleza de la brecha
La AEPD analiza la brecha desde una doble perspectiva. Respecto a la pérdida de confidencialidad, la resolución indica que existen indicios, por lo tanto, de que al menos el atacante tuvo acceso a los datos exfiltrados.
En cuanto a la pérdida de disponibilidad, la brecha afectó a la disponibilidad de los datos tanto por el responsable como por el encargado del tratamiento.
Causa de la brecha y deficiencias detectadas
El análisis de la AEPD identifica deficiencias en las medidas de seguridad. Según las conclusiones del informe de actuaciones previas de investigación, confluyeron por lo tanto, dos errores que posibilitaron el ciberataque.
Graduación de la sanción
Para determinar la sanción, la AEPD tuvo en cuenta diversos factores, entre ellos la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
La Agencia consideró especialmente relevante la negligencia apreciada, señalando que debe considerarse especialmente grave la negligencia cometida en la producción de la brecha.
La sanción inicial propuesta fue de 100.000 euros, teniendo en cuenta que STRATESYS es una empresa con un volumen de negocios de 100.969.046 euros.
Terminación por reconocimiento de responsabilidad y pago voluntario
En fecha 24 de julio de 2025, STRATESYS ha procedido al pago de la sanción en la cuantía de 60.000,00 euros haciendo uso de las dos reducciones previstas en el acuerdo de inicio transcrito anteriormente, lo que implica el reconocimiento de la responsabilidad en relación con los hechos a los que se refiere el acuerdo de inicio y su calificación jurídica.
Medidas correctivas
Además de la sanción pecuniaria, la AEPD ordena a la empresa que, en el plazo de tres meses, acredite la aplicación efectiva de las medidas técnicas y organizativas adecuadas, tanto para garantizar el cumplimiento de los principios de integridad y confidencialidad, así como la implementación de las medidas de seguridad del tratamiento adecuadas a los riesgos.