| Resolución | PS-00353-2024 |
| Firmado | 2025-12-18T00:00:00Z |
| Enlace | 📋 |
El procedimiento sancionador se inició contra Hyundai Motor España S.L.U. (HMES) debido a una brecha de datos personales que afectó a más de un millón de clientes y potenciales clientes. La brecha permitió el acceso no autorizado a datos como nombres, fechas de nacimiento, teléfonos, direcciones de correo electrónico y números de bastidor de vehículos. Los datos no estaban cifrados, lo que facilitó su exfiltración.
La denuncia se basó en la vulneración del artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que establece la obligación de garantizar la seguridad adecuada de los datos personales. La infracción se tipificó como muy grave según el artículo 83.5.a del RGPD, con una sanción máxima de 20 millones de euros o el 4% del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
HMES alegó que la infracción era leve debido a la naturaleza de los datos afectados, el número de interesados y la falta de perjuicios graves. Argumentó que había adoptado medidas para paliar los daños y que no había obtenido beneficios de la infracción. Sin embargo, la propuesta de resolución mantuvo la gravedad de la infracción, considerando la negligencia en la seguridad de los datos y la magnitud del incidente.
Finalmente, HMES optó por el pago voluntario de la sanción, reducida en un 20% a 1.600.000 euros, lo que llevó a la terminación del procedimiento sancionador. Además, se ordenó a HMES adoptar medidas para ajustar su actuación a la normativa de protección de datos en un plazo de seis meses.