El club confirma una vulneración de su plataforma digital que ha dejado expuesta información personal de su base societaria, con implicaciones directas bajo el RGPD
La web oficial del RCD Espanyol ha sido objeto de un acceso no autorizado que ha dejado expuestos datos personales de sus socios, convirtiéndose en uno de los incidentes de ciberseguridad más llamativos del fútbol español en lo que va de 2026.
Aunque el club no ha detallado públicamente qué categorías de datos han sido comprometidas ni el número exacto de afectados, la naturaleza del incidente activa de forma automática el protocolo de protección de datos europeo. El Reglamento General de Protección de Datos (RGPD) obliga a cualquier organización a notificar una brecha de seguridad a la autoridad competente, en España la Agencia Española de Protección de Datos (AEPD), en un plazo máximo de 72 horas desde que tiene conocimiento del incidente. Si la brecha conlleva un riesgo alto para los afectados, la comunicación debe extenderse también directamente a los socios implicados.
El riesgo económico y reputacional para el club
Para un club como el Espanyol, que según datos de Transfermarkt cuenta con aproximadamente 22.970 socios, una brecha de datos no es solo un problema técnico: tiene consecuencias económicas y reputacionales directas.
Las sanciones del RGPD en casos de infracciones graves relacionadas con brechas de seguridad pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocio global del club. En los supuestos más graves, como la vulneración de principios básicos o el tratamiento sin base jurídica adecuada, el techo sube hasta 20 millones de euros o el 4% de la facturación. A esas cifras hay que añadir el daño a la relación con la masa societaria, un activo intangible que los clubs medianos como el Espanyol no pueden permitirse deteriorar.
Lee también
El precedente más cercano en el deporte europeo es el de la Federación Francesa de Fútbol (FFF), que en noviembre de 2025 confirmó que un acceso no autorizado mediante una cuenta comprometida permitió el robo de información personal de miembros registrados. La FFF denunció el hecho ante la ANSSI (agencia nacional de ciberseguridad francesa) y la CNIL (autoridad de protección de datos), y se comprometió a notificar individualmente a cada afectado.
Qué debe hacer ahora el Espanyol
El protocolo estándar ante este tipo de incidentes pasa por varias fases. Lo inmediato es el aislamiento de los sistemas afectados y la revocación de los accesos comprometidos, preservando las evidencias sin alterar logs. A continuación, el club debe evaluar qué categorías de datos han quedado expuestas y cuántos socios están implicados, documentando el alcance aunque finalmente no proceda notificación a la AEPD.
El Espanyol tiene actualmente como director deportivo a Monchi, tras su llegada oficial en mayo de 2026, y atraviesa un momento de reestructuración institucional. Gestionar con transparencia y rapidez esta crisis de ciberseguridad evitará que se convierta en un problema financiero adicional en un periodo ya de por sí exigente para el club.
Puede consultarse el historial financiero y societario del club en la sección dedicada al RCD Espanyol en FutbolFinanzas, donde se abordó en detalle la operación de venta del club en 2024. El contexto de los derechos de imagen y la propiedad de activos digitales resulta también relevante para entender el valor de los datos que un club gestiona sobre sus stakeholders.
