La brecha afectó a datos de empleados, jugadores y aficionados

Esta noticia ha sido publicada previamente por eldiario.es.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 110.000 euros a la Real Sociedad por no implementar medidas de seguridad adecuadas para evitar un ciberataque que comprometió datos personales sensibles. El incidente afectó a más de 38.000 registros, incluyendo información de aficionados, jugadores y empleados del club, como direcciones postales, correos electrónicos, DNI, cuentas bancarias e historiales médicos. La sanción se basa en la infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), que exige garantizar la confidencialidad e integridad de los datos.

Según el expediente de la AEPD, los atacantes accedieron a los sistemas del club mediante un correo electrónico malicioso en 2018 y extrajeron una gran cantidad de información que fue publicada posteriormente en la dark web. A pesar de tratarse de datos altamente sensibles, el club no contaba con medidas técnicas avanzadas como segmentación de redes, sistemas de detección de intrusiones o cifrado de bases de datos. La AEPD concluye que el incidente era previsible y que se pudo haber evitado con un enfoque más riguroso en materia de ciberseguridad y protección de datos.

El RGPD exige responsabilidad proactiva ante riesgos tecnológicos

Este caso vuelve a poner en primer plano la obligación de adoptar medidas de seguridad proporcionales al riesgo, especialmente cuando se trata de entidades que manejan grandes volúmenes de datos personales y sensibles. La AEPD remarca que las organizaciones deben ser capaces de prevenir, detectar y mitigar ataques con rapidez, y que la falta de diligencia puede conllevar graves consecuencias legales, económicas y reputacionales.

Consulta la noticia original si desea conocer más.