| Resolución | PS-00511-2025 |
| Firmado | 2026-03-20T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
En este caso, se inició un procedimiento sancionador contra ALÍA GESTIÓN INTEGRAL DE SERVICIOS, S.L. por una grave brecha de seguridad que afectó a datos personales de más de 77.000 personas, incluyendo datos sensibles como DNI, información sanitaria y de menores, en varios países de la UE. La brecha, causada por un ciberataque de tipo ransomware, se detectó el 24 de abril de 2024, pero se estima que comenzó días antes, el 19 de abril. Los atacantes explotaron vulnerabilidades no parcheadas y credenciales comprometidas, accediendo a sistemas internos y exfiltrando información.
La denuncia se centró en el incumplimiento del principio de integridad y confidencialidad (Artículo 5.1.f del RGPD), ya que las medidas de seguridad implementadas por la empresa no eran adecuadas para mitigar un riesgo de este nivel. Aunque ALÍA GESTIÓN comunicó la brecha a los afectados y adoptó algunas medidas correctivas tras el incidente, las deficiencias previas —como falta de actualizaciones críticas y análisis de riesgos insuficientes— facilitaron la vulneración. Además, la compañía no implementó mejoras proactivas en políticas y procedimientos antes del ataque, pese a conocer debilidades desde enero de 2024.
Sanción:
Se propuso inicialmente una multa de 250.000 euros (4% del volumen de negocio anual de la compañía), ponderando factores como:
Gravedad: Afectación masiva de datos sensibles, incluyendo menores.
Negligencia: La empresa conocía las vulnerabilidades pero no actuó a tiempo.
Transfronteriza: Impacto en varios Estados miembros de la UE.
Medidas atenuantes: Comunicación a afectados y adopción reactiva de algunas protecciones.
Sin embargo, dado el pago voluntario de 150.000 euros (aplicando reducciones del 40% por reconocimiento de responsabilidad y pago anticipado), la autoridad resolvió confirmar la sanción en esta cuantía definitiva y terminar el procedimiento. La empresa, al asumir la responsabilidad y cumplir con el pago en plazo, evitó recursos posteriores y la imposición de medidas adicionales.
La decisión subraya la importancia de evaluar riesgos proactivamente y aplicar medidas de seguridad proporcionales, especialmente cuando se manejan datos de categorías especiales o de colectivos vulnerables.