En materia de brechas de seguridad, la actuación reactiva no es suficiente. En la actuación, la tendencia regulatoria gira hacia endurecer la prevención, la monitorización y la capacidad de detección.
En esta línea, la Agencia Española de Protección de Datos (AEPD) ha sancionado a DÉCIMAS con 120.000 euros por una brecha masiva que expuso datos personales de más de 331.000 clientes tras un ciberataque, afectando a correos electrónicos, fechas de nacimiento y, especialmente, DNI/NIE de los clientes.
La cadena de ropa deportiva vulneró el principio de integridad y confidencialidad del artículo 5.1.f) del Reglamento General de Protección de Datos al constatar la autoridad que no tenía implementadas medidas técnicas y organizativas suficientes para prevenir y detectar el ataque.
En su expediente sancionador EXP202408867, la autoridad endurece su criterio sobre las obligaciones de monitorización y detección temprana de ciberataques y eleva el DNI a la categoría de dato especialmente sensible a efectos sancionadores.
INCIBE alertó del ataque antes de que Décimas lo detectara
Los hechos se remontan al 26 abril de 2024, cuando Décimas recibe un mensaje del Instituto Nacional de Ciberseguridad (INCIBE) comunicando un posible ataque a la base de datos.
La tienda deportiva confirma con la empresa subcontratada para el tratamiento de datos que se había producido una violación de la seguridad y puso en conocimiento a la AEPD.
Décimas alegó que, a pesar de las medidas de seguridad implementadas se detectó, una fuga de información de las bases de datos mediante técnicas de inyección de código SQL, una técnica que permite manipular bases de datos explotando fallos de validación en aplicaciones web.
En esta brecha de seguridad quedaron expuestos los datos relativos a dirección de correo electrónico, fecha de nacimiento, género y DNI de 331.809 clientes.
La AEPD endurece el estándar de diligencia en ciberseguridad
Y para la AEPD estos hechos desprenden una vulneración del principio de confidencialidad manifestada con el acceso por parte de terceros no autorizados a datos personales y su posterior publicación en la red.
La autoridad pone el foco en la falta de detección temprana: la compañía no descubrió el ataque por sus propios sistemas, sino tras la alerta remitida por INCIBE, quien localizó los datos puestos a la venta en Internet.
La resolución refleja un endurecimiento del estándar de diligencia exigible a las empresas en materia de ciberseguridad. La AEPD ya no se limita a valorar si existían medidas de seguridad formales, sino si la organización disponía de capacidades reales de monitorización, detección temprana y respuesta efectiva ante incidentes.
Así, manda un mensaje: no basta con tener medidas de seguridad «en abstracto». El responsable debe acreditar una supervisión continua, revisión de vulnerabilidades y la capacidad efectiva de respuesta.
«Todo ello pone de manifiesto que DÉCIMAS no tenía implantada medidas adecuadas destinada a comprobar la existencia de vulnerabilidades ni de alerta temprana de incidentes, por lo que carecía de una monitorización adecuada de sus sistemas», señala el expediente sancionador.
La AEPD también cuestione el remedio posterior
Además, la Agencia critica incluso las medidas adoptadas con un reproche especialmente severo. Meses después de la brecha, pruebas de intrusión seguían detectando vulnerabilidades críticas en el dominio afectado.
«Resulta llamativo que, meses después del incidente, a principios del año 2025, se realizaron pruebas de intrusión internas y externas, cuyos resultados se reflejan de la siguiente manera: (…). De lo anterior puede concluirse que el dominio de Décimas empleado para la materialización de la brecha, tiempo después de que la misma se produjese y a pesar de las medidas que se decían puestas en marca, siguió adoleciendo de diversas vulnerabilidades, dos de ellas calificadas como de criticidad alta», señala.
Es decir, la AEPD no solo sanciona el incidente original, sino también la insuficiencia de la remediación posterior. Este hecho incrementa la presión regulatoria sobre los planes de respuesta tras un incidente de seguridad.
Por todo ello, la agencia cifra en 200.000 euros de multa administrativa por una vulneración del artículo 5.1.f) del RGPD. Sin embargo, la sanción final quedó fijada en 120.000 euros tras aplicarse las reducciones legales por reconocimiento de responsabilidad y pago voluntario.
