| Resolución | PS-00373-2025 |
| Firmado | 2025-11-28T00:00:00Z |
| Enlace | 📋 |
El 27 de octubre de 2023, SPRINTER MEGACENTROS DEL DEPORTE, S.L. sufrió una brecha de seguridad que afectó a más de 6 millones de personas, incluyendo clientes, empleados y exempleados. La brecha permitió el acceso no autorizado a datos personales sensibles, como nombres, direcciones, números de identificación, datos de contacto, y en algunos casos, datos de salud y económicos. La empresa notificó la brecha el 31 de octubre de 2023, pero no informó a los afectados hasta el 27 y 28 de noviembre de 2023, lo cual se consideró una demora indebida.
La investigación reveló que las medidas de seguridad implementadas por SPRINTER antes del incidente eran insuficientes para proteger los datos personales. La empresa reconoció que la brecha podría haberse evitado con medidas adicionales y que hubo fallos en las medidas de seguridad existentes. Tras la brecha, SPRINTER implementó nuevas medidas de seguridad y mejoró sus procedimientos de gestión de incidentes.
Se inició un procedimiento sancionador contra SPRINTER por la vulneración del principio de integridad y confidencialidad de los datos personales, conforme al artículo 5.1.f del Reglamento General de Protección de Datos (RGPD). La empresa reconoció su responsabilidad y pagó voluntariamente una sanción de 1.560.000 euros, lo que llevó a la terminación del procedimiento. Además, SPRINTER fue ordenada a adoptar medidas correctivas para mejorar la seguridad de los datos personales en un plazo de seis meses.