| Resolución | PS-00559-2025 |
| Firmado | 2026-03-01T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
En enero de 2026, la empresa DÉCIMAS, S.L. fue sancionada por una brecha de seguridad que expuso datos personales de 331.809 clientes (nombre, apellidos, correo electrónico, DNI, fecha de nacimiento y género).
Denuncia o reclamo:
Dos reclamaciones interpuestas en mayo de 2024 indicaron que DÉCIMAS notificó a los afectados sobre un ataque informático sufrido en abril de 2024, en el que ciberdelincuentes accedieron a su base de datos mediante una inyección de SQL, exfiltrando información. La empresa, como responsable del tratamiento, fue acusada de incumplir el principio de integridad y confidencialidad (Art. 5.1.f del RGPD), al no implementar medidas adecuadas para proteger los datos.
Hallazgos clave:
La vulnerabilidad explotada (inyección SQL) permitió el acceso no autorizado a los datos.
La empresa no detectó el ataque internamente, sino que fue alertada por una entidad externa (INCIBE).
No se aplicaban medidas de cifrado ni monitorización efectiva que evitara la filtración masiva.
Aunque DÉCIMAS notificó el incidente a los afectados y adoptó medidas correctivas tras el ataque, estas fueron insuficientes para garantizar la prevención futura.
Sanción y motivos:
La empresa fue sancionada con una multa de 120.000 euros, tras aplicar reducciones del 40% por reconocimiento de responsabilidad y pago voluntario. La sanción se justificó por:
Gravedad de la infracción: Afectó a un elevado número de personas, incluido datos sensibles como el DNI (que permite identificación directa y riesgo de suplantación).
Falta de medidas técnicas y organizativas: No había monitorización de vulnerabilidades ni alertas tempranas.
Naturaleza negligente: La brecha ocurrió por fallos prevenibles, y la detección fue externa, no interna.
Medidas complementarias:
Se ordenó a DÉCIMAS que, en 6 meses, acreditara la implementación de medidas técnicas y organizativas para garantizar la confidencialidad de los datos, bajo riesgo de nuevas sanciones.
Conclusión: La sanción se impuso por no cumplir con las obligaciones del RGPD en materia de seguridad de datos, evidenciando una negligencia en la protección de información personal.