Santander Consumer era la responsable del tratamiento y, como tal, debía garantizar la seguridad de los datos personales, independientemente de la intervención de terceros encargados del tratamiento.— Agencia Española de Protección de Datos (AEPD)
La AEPD multó a Santander Consumer Finance con 500.000 euros en febrero de 2025 por una brecha de seguridad masiva que expuso los datos personales de más de 870.000 personas. El origen fue un ciberataque del grupo LockBit contra Marktel, una empresa subcontratada por Orange para servicios de recobro de deudas de Santander. Los datos robados incluían nombres, apellidos, DNI, direcciones, fechas de nacimiento e IBANes completos sin ofuscar. Santander alegó que la responsabilidad era de sus subcontratistas — la AEPD lo rechazó: el banco es el responsable del tratamiento y debe garantizar la seguridad de los datos aunque los procese un tercero.
Entre octubre y diciembre de 2022 se produjeron varias brechas de seguridad en la cadena de subcontratación de Santander Consumer Finance: el banco había encargado a Orange España la gestión de recobros, y Orange a su vez había subcontratado a Marktel. En noviembre de 2022, Marktel sufrió un ciberataque del grupo LockBit que comprometió datos de más de 870.000 personas afectadas por créditos de financiación de móviles. Los datos incluían IBANes completos sin ofuscar. La AEPD inició el procedimiento sancionador en febrero de 2024. Santander presentó recurso que fue desestimado en febrero de 2025, confirmándose la multa. El banco debe además implantar medidas de seguridad adicionales.
La AEPD aplicó el Art. 5.1.f) RGPD (principio de confidencialidad e integridad): el responsable del tratamiento no puede escudarse en que fue un tercero quien sufrió el ataque. Santander Consumer Finance es el responsable, y debía haber establecido instrucciones claras y mecanismos de control adecuados sobre sus encargados del tratamiento. El contrato con Orange databa de 2015 y nunca había sido actualizado para cumplir con el RGPD (en vigor desde 2018). La AEPD consideró que el marco contractual obsoleto fue el origen del fallo de seguridad.
Si Santander ha facilitado tus datos a terceros sin garantías adecuadas, o si tus datos personales han aparecido en una filtración relacionada con proveedores del banco, esta resolución establece que Santander es el responsable, no el proveedor. El banco no puede trasladarte a ti ni a sus subcontratistas la responsabilidad de proteger tus datos. Si recibiste una notificación de brecha de datos de Santander Consumer Finance entre 2022 y 2025, tienes base para reclamar daños ante la AEPD o por vía civil.
| Órgano | Agencia Española de Protección de Datos (AEPD) |
| Referencia | PS/00093/2024 |
| Fecha | 14/02/2025 |
| Entidad | Santander |
| Condena | 500.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Art. 5.1.f) RGPD (confidencialidad e integridad) |
📄 Fuente oficial (dominio público):
Fuente oficial →La AEPD multó a Santander Consumer Finance con 500.000 euros en febrero de 2025 por una brecha de seguridad masiva que expuso los datos personales de más de 870.000 personas. El origen fue un ciberataque del grupo LockBit contra Marktel, una empresa subcontratada por Orange para servicios de recobro de deudas de Santander. Los datos robados incluían nombres, apellidos, DNI, direcciones, fechas de nacimiento e IBANes completos sin ofuscar. Santander alegó que la responsabilidad era de sus subcontratistas — la AEPD lo rechazó: el banco es el responsable del tratamiento y debe garantizar la segur…
La AEPD aplicó el Art. 5.1.f) RGPD (principio de confidencialidad e integridad): el responsable del tratamiento no puede escudarse en que fue un tercero quien sufrió el ataque. Santander Consumer Finance es el responsable, y debía haber establecido instrucciones claras y mecanismos de control adecuados sobre sus encargados del tratamiento. El contrato con Orange databa de 2015 y nunca había sido actualizado para cumplir con el RGPD (en vigor desde 2018). La AEPD consideró que el marco contractual obsoleto fue el origen del fallo de seguridad.
Si Santander ha facilitado tus datos a terceros sin garantías adecuadas, o si tus datos personales han aparecido en una filtración relacionada con proveedores del banco, esta resolución establece que Santander es el responsable, no el proveedor. El banco no puede trasladarte a ti ni a sus subcontratistas la responsabilidad de proteger tus datos. Si recibiste una notificación de brecha de datos de Santander Consumer Finance entre 2022 y 2025, tienes base para reclamar daños ante la AEPD o por vía civil.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.