Fuente: Agencia Española de Protección de Datos — resolución PS-00559-2025 / EXP202408867.
La Agencia Española de Protección de Datos ha declarado la comisión de una infracción por parte de DÉCIMAS, S.L. y ha fijado en 120.000 euros la sanción definitiva tras el reconocimiento de responsabilidad y el pago voluntario.
El expediente parte de una brecha de seguridad comunicada en abril de 2024. Según la resolución, el incidente se produjo mediante una inyección SQL y afectó a datos de clientes como correo electrónico, fecha de nacimiento, género y DNI.
La AEPD destaca que la brecha fue detectada a partir de una alerta de INCIBE, no por los propios sistemas de la compañía, y aprecia insuficiencia de medidas de monitorización, alerta temprana y protección de la confidencialidad.
La resolución considera vulnerado el artículo 5.1.f) del RGPD, relativo al principio de integridad y confidencialidad. La sanción inicial ascendía a 200.000 euros y quedó reducida a 120.000 euros por la aplicación acumulada de las reducciones previstas en el artículo 85 de la Ley 39/2015.
Además de la multa, la AEPD ordena a Décimas acreditar en el plazo de seis meses la adopción de medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de los datos personales tratados.
La decisión tiene interés práctico para empresas con comercio electrónico y bases de datos de clientes: no basta con reaccionar cuando aparece la brecha, sino que deben existir controles efectivos de prevención, monitorización, detección temprana y revisión periódica de vulnerabilidades.
Nota de Adara Legal: esta entrada forma parte de la selección diaria de actualidad jurídica. Resume una fuente oficial o institucional y enlaza el texto original para su consulta completa.