| Resolución | PS-00437-2024 |
| Firmado | 2026-03-11T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión
El procedimiento sancionador concluye que Iberia Líneas Aéreas de España, S.A. incumplió el principio de integridad y confidencialidad (artículo 5.1.f del RGPD) al no garantizar la seguridad adecuada de los datos personales de empleados y representantes de clientes afectados por una brecha de ciberseguridad.
Hechos denunciados
Un ataque externo, aprovechando vulnerabilidades conocidas en los sistemas de un proveedor de Iberia, logró acceder y exfiltrar datos personales (nombre, correos electrónicos, credenciales, datos de vuelo, etc.) de miles de afectados en múltiples países de la UE.
Las medidas de seguridad del proveedor no eran suficientes para mitigar el riesgo, y aunque Iberia realizó evaluaciones de riesgo genéricas, no implementó controles técnicos adecuados para supervisar al proveedor (como auditorías directas o monitorización continua).
Sanción
Se impone una multa de 650.000 € por incumplir el principio de confidencialidad (art. 5.1.f del RGPD), considerando:
Gravedad: Afectación masiva de datos sensibles en un tratamiento con riesgo alto.
Negligencia: Iberia no verificó adecuadamente las medidas de seguridad del encargado del tratamiento, pese a tener mecanismos contractuales para hacerlo.
Proporcionalidad: La multa se calcula en función del volumen de negocio de Iberia y los criterios de graduación del RGPD.
Medidas correctivas
Se ordena a Iberia:
Adoptar medidas técnicas y organizativas suficientes para adecuar la seguridad del tratamiento al riesgo (art. 58.2.d del RGPD).
Comunicar la brecha a los afectados si se determina que existe un alto riesgo residual (art. 58.2.e del RGPD).
Razones de la sanción
El RGPD exige a los responsables de tratamiento supervisar activamente a sus encargados (art. 28), asegurando que las medidas sean proporcionales al riesgo. Iberia no cumplió con esta obligación, lo que llevó a la violación de confidencialidad.