La exposición masiva de datos personales de 198.000 sanitarios tras un ataque de ‘ransomware’ no es solo un problema de ciberseguridad: es una vulneración del derecho fundamental a la protección de datos.
Así lo concluye la Agencia Española de Protección de Datos (AEPD) al sancionar con 9.000 euros a SATSE y FUDEN en su resolución sancionadora PS/00329/2025. Entre los datos afectados se encontraban fotocopias del DNI escaneadas, nombres, fechas de nacimiento y datos de contacto.
Con este ataque, la Agencia aprecia dos infracciones del Reglamento General de Protección de Datos (RGPD): una vulneración del artículo 5.1.f, relativo al principio de integridad y confidencialidad, y un incumplimiento del artículo 26, sobre la corresponsabilidad en el tratamiento.
Además, recuerda que este tipo de ataques implica una pérdida total del control del dato y afecta directamente al derecho fundamental reconocido en el artículo 18.4 de la Constitución.
Una brecha de seguridad que acabó afectando a 198.000 profesionales sanitarios
El ciberataque, atribuido al grupo Hunters International, provocó una brecha de seguridad en los sistemas de SATSE y FUDEN mediante un incidente de ransomware.
Este tipo de ataques conlleva un acceso ilegítimo a los datos personales, su cifrado y, en muchos casos, su exfiltración y posterior venta en la dark web.
Inicialmente se estimó que la brecha afectó a unos 50.000 alumnos de formación continuada del plan de actividades FUDEN-SATSE 2024, pero posteriormente ambas entidades comunicaron a la Agencia que el incidente afectó a un total de 198.000 personas ante la imposibilidad de determinar el alcance real.
Los datos comprometidos incluían, además del número de DNI, copias completas del documento —con información adicional—, así como datos de contacto y fechas de nacimiento.
Tras las reclamaciones de numerosos afectados, ambas organizaciones alegaron haber sido víctimas del ataque y aseguraron disponer de medidas de seguridad suficientes.
Deber reforzado de confidencialidad de los datos
La Agencia rechaza este planteamiento y recuerda que el deber de garantizar la confidencialidad de los datos personales no se limita a impedir accesos ilegítimos o que se usurpen esos datos, sino también a evitar que, si estos se produce, el atacante pueda acceder a toda la información
Si se cumplen adecuadamente estas medidas, señala la Agencia, se «impediría que —el atacante— pueda conocer y descifrar estos datos personales, y por tanto, no podrá conocerlos, exponerlos, publicarlos, ni cederlos a terceros».
Por ello, la pérdida de control derivada del ‘ransomware’ se traduce, según el organismo, «en una vulneración del derecho fundamental a la protección de datos reconocido en el artículo 18. 4 de la Constitución Española, pues tal y como ha indicado el Tribunal Constitucional (Sentencia 292/2000, de 30 de noviembre de 2000)».
La AEPD dedica especial atención a la exposición de las copias del DNI. En este caso, hasta 23.000 documentos se vieron comprometidos.
«Su utilización indebida conlleva un elevado riesgo de suplantación de identidad, daños patrimoniales o afectación al derecho al honor» advierte la Agencia, riesgos expresamente contemplados en el artículo 75 del RGPD.
Y añade que no solo se vio afectada el número del DNI, sino la copia integra del DNI, que contiene mayor número de datos personales si cabe, incluida la imagen y el chip NFC, nombre de los padres, número de equipo y tantos otros datos personales que agravan la situación», subraya.
Corresponsabilidad mal definida
Respecto a una posible infracción del artículo 26 del RGPD, SATSE y FUDEN reconocieron ser corresponsables del tratamiento.
Sin embargo, aunque formalizaron un acuerdo, la AEPD concluye que este no delimitaba con claridad qué responsabilidades le correspondían a cada uno en la fijación de medios y fines de la actividad del tratamiento.
Pese a los requerimientos del organismo, «siguen planteándose diversas dudas acerca de quién se encarga de decidir sobre los fines y los medios».
Por todo ello, la Agencia considera acreditadas ambas infracciones —el artículo 5.1f) y del artículo 26 del RGPD— y condena a ambas organizaciones al pago de 10.000 y 5.000 euros por cada vulneración.
No obstante, SATSE y FUDEN optaron por el reconocimiento de responsabilidad y el pago voluntario, lo que les permitió acogerse a las dos reducciones del 20% previstas en el artículo 85 de la Ley 39/2015, dejando la multa definitiva en 9.000 euros.
