| Resolución | PS-00613-2025 |
| Firmado | 2026-04-22T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
Se inicia un procedimiento sancionador contra la empresa KONECTA BTO, S.L. por una presunta infracción del artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que exige que los datos personales sean tratados de manera que se garantice su seguridad, integridad y confidencialidad, protegiéndolos contra accesos no autorizados, pérdida o alteración.
Hechos denunciados:
Brecha de datos identificada: Entre el 5 y 7 de mayo de 2024, se produjo un acceso no autorizado a los sistemas de dos empresas del Grupo [REDACTADO] (en adelante, EMPRESA.1 y EMPRESA.2), a través de un ciberincidente derivado de un fallo en los sistemas de seguridad del proveedor KONECTA BTO, S.L.
Datos afectados: Se accedió a datos de 808.800 clientes (582.813 de EMPRESA.1 y 299.9533 de EMPRESA.2), entre ellos:
Datos identificativos: nombres, apellidos, números de DNI, NIE, pasaporte.
Datos de contacto: direcciones, teléfonos y correos electrónicos.
Vulneración: Se constató que KONECTA incumplió medidas de seguridad básicas y contractuales:
No implementó métodos de autenticación reforzados (como doble factor o sistemas de alerta temprana).
No detectó el ataque con sus propios sistemas de monitorización.
Los informes forenses indicaron que la causa raíz fue una falla en sus protocolos internos, a pesar de que un auditor externo ya había señalado esta deficiencia en 2022.
Sanción:
Se propuso una multa inicial de 500.000 €, ajustada según los criterios de proporcionalidad y gravedad, considerando:
Gravedad: Impacto masivo en la confidencialidad de datos sensibles (incluido el DNI, considerado dato de especial riesgo por su potencial uso fraudulento).
Negligencia: La empresa no implementó soluciones básicas a pesar de tener conocimientos previos de riesgos (auditoría previa).
Perjuicio a derechos: Riesgo de suplantación de identidad y daños patrimoniales a los afectados.
Beneficios evitados: La empresa opera en el sector de telemarketing, donde el manejo de datos es esencial, y el incumplimiento derivó en un daño reputacional pero también evitó costes en medidas de seguridad adecuadas.
Finalización del procedimiento:
KONECTA reconoció su responsabilidad y realizó un pago voluntario de 300.000 € (tras aplicar dos reducciones del 20% cada una, acumulables).
La sanción definitiva queda establecida en 300.000 €.
Se exige a la empresa que en un plazo de 6 meses implemente proyectos para:
Garantizar medidas técnicas y organizativas que eviten nuevos incidentes de seguridad.
Establecer políticas de detectabilidad temprana (como sistemas de registro y análisis de accesos anómalos).
La decisión es firme al haber mediado pago voluntario y reconocimiento de culpabilidad, sin perjuicio de que el infractor pueda recurrirla ante la Audiencia Nacional.