| Resolución | PS-00313-2025 |
| Firmado | 2025-09-04T00:00:00Z |
| Enlace | 📋 |
La Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria, S.A. (SAREB) fue sancionada por una brecha de seguridad que afectó la confidencialidad y disponibilidad de datos personales. La brecha se produjo debido a un ciberataque que permitió el acceso no autorizado a información sensible de empleados y exempleados. La empresa encargada del tratamiento de datos, STRATESYS, sufrió el ataque, pero SAREB, como responsable del tratamiento, fue considerada responsable por no haber implementado medidas adecuadas para garantizar la seguridad de los datos.
La sanción se impuso por dos infracciones: la primera, por no cumplir con el principio de integridad y confidencialidad establecido en el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD); y la segunda, por no haber celebrado un contrato adecuado con el encargado del tratamiento, conforme al artículo 28 del RGPD. La sanción económica inicial fue de 300.000 euros, pero se redujo a 180.000 euros debido al reconocimiento de responsabilidad y el pago voluntario por parte de SAREB.
Además de la sanción económica, SAREB fue ordenada a adoptar medidas correctivas para asegurar la protección de los datos personales en el futuro. Estas medidas incluyen la implementación de medidas técnicas y organizativas adecuadas para garantizar la integridad y confidencialidad de los datos, así como la celebración de contratos de encargo del tratamiento que cumplan con los requisitos del RGPD. La empresa debe notificar a la autoridad de protección de datos la adopción de estas medidas dentro de un plazo de tres meses desde que la resolución sea firme y ejecutiva.