| Resolución | PS-00286-2025 |
| Firmado | 2025-08-12T00:00:00Z |
| Enlace | 📋 |
En octubre de 2023, la Real Sociedad de Fútbol sufrió un ciberataque de tipo ransomware que afectó a datos personales de aproximadamente 60,000 personas. Los datos comprometidos incluían información básica como nombres, apellidos y fechas de nacimiento, así como datos más sensibles como números de DNI, cuentas bancarias y datos de salud. El ataque se detectó el 16 de octubre de 2023, cuando se descubrió que los servidores habían sido encriptados, y se notificó a las autoridades correspondientes, incluyendo la Agencia Española de Protección de Datos.
Un abonado de la Real Sociedad presentó una reclamación por la falta de seguridad en el manejo de sus datos personales. La entidad reconoció la brecha y adoptó medidas para restaurar los sistemas y mejorar la seguridad. Sin embargo, se determinó que la Real Sociedad no había implementado medidas de seguridad adecuadas para proteger los datos, lo que constituyó una infracción del Reglamento General de Protección de Datos (RGPD).
La entidad fue sancionada con una multa de 66,000 euros tras reconocer su responsabilidad y realizar el pago voluntario, beneficiándose de una reducción del 40% sobre la sanción inicial propuesta. Además, se le ordenó adoptar medidas correctivas para asegurar la protección de los datos personales en el futuro. La resolución también destacó la importancia de implementar medidas técnicas y organizativas adecuadas para prevenir futuros incidentes de seguridad.