El pasado 2 de abril de 2025, El Corte Inglés, uno de los principales referentes del comercio minorista en España, confirmó que había sido víctima de un ciberataque que afectó a su red corporativa, comprometiendo datos internos de la compañía. Lo ocurrido plantea importantes interrogantes legales y de cumplimiento normativo que merecen una reflexión desde el prisma del Derecho Digital, la Ciberseguridad y la Protección de Datos Personales. Es muy importante en estos casos saber cómo actuar tras una brecha de seguridad.
¿Que Ocurrió?
Según la información facilitada, los atacantes habrían accedido a sistemas internos, presuntamente mediante técnicas de ransomware o phishing avanzado, afectando el funcionamiento normal de algunos servicios internos y provocando una alerta generalizada en la compañía. Aunque la empresa activó de inmediato su protocolo de seguridad y notificó a las autoridades pertinentes, el incidente ha puesto de relieve las vulnerabilidades latentes incluso en grandes empresas con potentes infraestructuras IT.
Obligaciones legales ante una brecha de seguridad
Por un lado, para saber como actuar tras una brecha de seguridad, en el ámbito de Protección de Datos personales, el Reglamento General de Protección de Datos (RGPD) establece como obligaciones ineludibles para los responsables del tratamiento ante una brecha de seguridad:
- Notificación a la AEPD: Si existe riesgo para los derechos y libertades de los interesados, debe notificarse el incidente a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que se tuvo constancia del mismo (art. 33 RGPD).
- Comunicación a los afectados: En caso de alto riesgo para los derechos de las personas (por ejemplo, si se filtran datos bancarios o de salud), debe comunicarse individualmente a los afectados (art. 34 RGPD).
- Registro de las incidencias: Incluso cuando no proceda notificación, el RGPD exige documentar cualquier brecha, incluyendo su naturaleza, efectos y medidas correctoras adoptadas.
Consecuencias legales y económicas
En términos jurídicos, una brecha de seguridad puede derivar en:
- Sanciones administrativas: La AEPD puede imponer multas de hasta 20 millones de euros o el 4% del volumen de facturación global anual, en caso de infracciones graves del RGPD. No obstante, la cuantía dependerá del análisis de diligencia debida, medidas preventivas adoptadas y grado de colaboración.
- Reclamaciones civiles: Los afectados que sufran daños materiales o morales como consecuencia de la brecha pueden exigir indemnizaciones por responsabilidad civil (art. 82 RGPD). También, por la pérdida de confidencialidad de la información, las empresas o profesionales pueden reclamar por desvelarse datos o información de carácter reservado según las relaciones comerciales o profesionales mantenidas, en incluso en el supuesto de que se pierda también información, y no se cuente con la adecuada y actualizada copia de seguridad de la información, se puede incurrir en posibles incumplimientos contractuales.
- Daño reputacional: El coste más difícil de medir, pero posiblemente el más lesivo, es el impacto sobre la confianza del cliente, que puede traducirse en pérdida de ventas y deterioro de la marca.
Medidas proactivas necesarias
Este suceso vuelve a poner sobre la mesa la necesidad de que las empresas y profesionales, con independencia de tener un gran volumen de datos y operaciones digitales, fortalezcan sus políticas de seguridad de la información, medidas de ciberseguridad y de protección de datos, mediante auditorías periódicas de seguridad, concienciación y formación continua al personal y planes de contingencia y continuidad de negocio actualizados, y se creen y actualicen procedimientos, protocolos y medidas de seguridad adecuadas y efectivas.
¿Y si mi cuenta está comprometida? Compruébalo ahora mismo
Uno de los pasos básicos de higiene digital —tanto para particulares como para empresarios y profesionales— es verificar si alguna cuenta de correo electrónico ha sido comprometida en una filtración. Existen herramientas útiles para ello. Las más fiables son:
Data Breach | Check if your data was compromised
Solo tienes que introducir tu dirección de email y la web te indicará si tu cuenta ha estado involucrada en alguna brecha de datos conocida. Si lo ha estado, es probable que tu contraseña también esté expuesta.
Te animo a que lo compruebes ahora. Muchos responsables de empresas descubren demasiado tarde que sus credenciales han circulado por la red oscura (Dark Web), cuando ya se han producido accesos indebidos o suplantaciones de identidad.
Esto no es una auditoria, pero puede ser el “hilo suelto” que te indique si has podido ser victima de un ciberataque pues la mayoría de las veces la víctima ignora que ha sido objeto de un ciberataque.
Cómo prepararse (de verdad) para lo inevitable
Este incidente vuelve a recordarnos que ninguna entidad está a salvo de los ciberataques por lo que es necesario saber como actuar tras una brecha de seguridad. Pero sí podemos reducir el impacto y evitar sanciones si actuamos de forma preventiva y con asesoramiento profesional con una revisión (o preparación) de políticas, procedimientos, protocolos y medidas de seguridad de la información y protección de datos, que te servirán como respuesta ante posibles incidentes.
La brecha de seguridad sufrida por El Corte Inglés debe servir como llamada de atención pues la normativa es clara, y la ciberseguridad y la protección de datos ya no es un mero cumplimiento administrativo, sino un verdadero elemento estratégico para la seguridad y sostenibilidad de cualquier negocio o profesión en la era digital. La ciberseguridad se ha convertido en algo fundamental y esencial y no en algo optativo.
¿Quieres proteger tu empresa o despacho de forma integral?
En Legalia ofrecemos servicios y soluciones personalizadas de consultoría, asesoramiento en ciberseguridad y adecuación al RGPD y LOPDGDD, adaptados a las necesidades de cada organización o profesional, tanto si eres autónomo como si diriges una pyme o una gran empresa.
¡No pongas en riesgo tu información! Puedes contactar con nosotros mediante el formulario o vía WhatsApp y refuerza la ciberseguridad y la protección de datos de tu empresa.