Inditex ha confirmado un acceso no autorizado a bases de datos gestionadas por un antiguo proveedor tecnológico. No se comprometieron datos personales sensibles: ni nombres completos, ni teléfonos, ni direcciones, ni contraseñas ni datos bancarios. Los sistemas operativos de la compañía siguen estables y seguros.
¿Qué tipo de información se vio afectada en el incidente de Inditex?
Las bases de datos comprometidas contenían exclusivamente datos relacionados con la relación comercial con clientes. Esto incluye identificadores transaccionales, historial de compras y preferencias de canal. No se almacenaban datos de identificación personal directa ni información financiera.
¿Por qué no se considera una filtración de datos personales según la LOPDGDD?
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales exige notificación inmediata solo cuando hay riesgo para los derechos y libertades de las personas. Al no existir nombre y apellidos, número de teléfono, domicilio ni datos bancarios, el incidente no activa el umbral legal de notificación obligatoria a los afectados.
¿Cómo respondió Inditex ante el acceso indebido?
La compañía activó sus protocolos de ciberseguridad en menos de dos horas desde la detección. Coordinó con el proveedor afectado y notificó a la Agencia Española de Protección de Datos (AEPD) y a otras autoridades competentes en mercados internacionales.
¿Qué medidas técnicas se implementaron tras el incidente?
Inditex reforzó los controles de acceso a sus entornos en la nube. Revisó todos los contratos con proveedores terceros. Actualizó sus políticas de gestión de riesgos de ciberseguridad y amplió la auditoría continua de proveedores críticos.
¿Cuál es el impacto económico real del incidente para Inditex?
Aunque no hubo interrupción operativa, el incidente implica costes directos: auditorías externas, revisión de contratos, actualización de infraestructura de seguridad y posibles multas por incumplimiento parcial de obligaciones de debida diligencia. El riesgo reputacional es moderado, dado que la marca mantiene altos índices de confianza en consumidores y reguladores.
¿Qué dice el marco legal sobre la responsabilidad de las empresas frente a proveedores?
El Reglamento General de Protección de Datos (RGPD) establece que el responsable del tratamiento —en este caso, Inditex— debe garantizar que los encargados del tratamiento (proveedores) cumplan con estándares de seguridad equivalentes. La falla del proveedor no exime a Inditex de su obligación de supervisión continua.
¿Qué deben hacer los clientes afectados?
Nada inmediato. Inditex no recomienda cambios de contraseña ni bloqueo de tarjetas, porque ningún dato financiero ni de autenticación fue comprometido. Los clientes pueden seguir operando con normalidad en tiendas físicas y online.
Datos Clave
- El incidente se originó en un antiguo proveedor tecnológico, no en los sistemas internos de Inditex.
- No se filtraron datos personales identificables ni información bancaria.
- Inditex notificó a la AEPD y a autoridades de otros países donde opera.
- Las operaciones comerciales y los sistemas de venta no sufrieron interrupción alguna.
- El caso refuerza la necesidad de revisar los acuerdos de procesamiento de datos con terceros.
El incidente pone en evidencia una vulnerabilidad creciente: la dependencia de grandes corporaciones de proveedores externos con controles de seguridad desalineados. En 2025, el 68 % de las brechas de datos en empresas del IBEX 35 tuvieron origen en cadenas de suministro tecnológico, según el Informe Anual de Ciberseguridad del CNPIC. Esto obliga a redefinir los estándares de debida diligencia digital, no solo como requisito legal, sino como eje estratégico de resiliencia empresarial.
