La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 110.000 euros —reducida a 66.000 por pronto pago— a la Real Sociedad tras un ciberataque de ransomware sufrido en octubre de 2023 que ha comprometido datos personales de unas 60.000 personas, entre aficionados, jugadores y empleados. El ataque ha inutilizado copias de seguridad y ha afectado a información que no estaba cifrada, incluyendo datos sensibles como información médica, biométrica y certificados de delitos sexuales de empleados, además de identificadores, cuentas bancarias y direcciones. La AEPD ha destacado que el club carecía de medidas de seguridad adecuadas, como la segmentación de red y el cifrado de datos, lo que ha agravado el impacto del incidente.
El alcance de la filtración ha resultado ser mayor de lo que el club notificó inicialmente, afectando potencialmente a todos los datos almacenados, que incluían información económica, laboral, patrimonial, credenciales de acceso y registros de rendimiento deportivo. Aunque no se han hallado evidencias de que la información fuera extraída o publicada, la AEPD ha concluido que se ha vulnerado el principio de integridad y confidencialidad de los datos. La sanción también obliga a la Real Sociedad a acreditar, en un plazo de tres meses, que ha implantado medidas de seguridad acordes al riesgo, considerando como agravantes la naturaleza y volumen de la información afectada, así como la duración de la brecha.