| Resolución | PS-00308-2025 |
| Firmado | 2025-08-22T00:00:00Z |
| Enlace | 📋 |
El Grupo Bonatel SL se enfrentó a un procedimiento sancionador debido a una brecha de seguridad que afectó a los datos personales de sus empleados y exempleados. La brecha se detectó el 20 de septiembre de 2023, cuando se encontró que la base de datos de la empresa había sido encriptada y se exigía un pago para evitar la publicación de los datos. La empresa notificó la brecha y presentó información adicional sobre el incidente.
La investigación reveló que la brecha afectó a 976 personas, exponiendo datos como nombres, apellidos, DNI y datos de contacto. Se identificaron varias deficiencias en las medidas de seguridad de la empresa, incluyendo la falta de actualización de credenciales de acceso, la ausencia de mecanismos de autenticación robustos y el uso de equipos obsoletos. Estas fallas permitieron que los atacantes accedieran y encriptaran los datos.
El procedimiento sancionador se inició con una propuesta de multa de 30.000 euros por dos infracciones del artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que establece la obligación de garantizar la integridad y confidencialidad de los datos personales. La empresa reconoció su responsabilidad y procedió al pago voluntario de la sanción, beneficiándose de una reducción del 40%, lo que resultó en una sanción final de 18.000 euros.
Además de la sanción económica, se ordenó a la empresa adoptar medidas correctivas para mejorar la seguridad de los datos dentro de un plazo de seis meses. Estas medidas incluyen la implementación de medidas técnicas y organizativas adecuadas para garantizar la integridad y confidencialidad de los datos personales, así como la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. La empresa debe notificar a la autoridad competente la adopción de estas medidas para asegurar el cumplimiento de la normativa de protección de datos.