En septiembre de 2022, Telefónica notificó una brecha de datos personales no cifrados que afectó a casi un millón y medio de sus clientes, todos residentes en España. La brecha de seguridad fue categorizada como de confidencialidad, al haberse producido un acceso indebido por un tercero no autorizado a datos personales cuya responsabilidad de tratamiento recae sobre Telefónica.

Los atacantes accedieron ilícitamente a una aplicación interna utilizando credenciales de empleados. Los datos personales a los que se accedió incluían números de teléfono, datos técnicos de conexiones wifi y routers, así como credenciales de acceso a cuentas (usuario y contraseña). En los casos de vulneración de datos de teléfonos fijos, la AEPD señaló que, si un tercero accede a ellos, se considera dato de carácter personal puesto que resulta posible la singularización de la persona: aunque la información no se refiera a una persona identificada, sí permite identificar al titular de la línea (Considerando 26 del RGPD).

La AEPD identificó que el tratamiento de los datos al acceder a las aplicaciones internas no contaba con una evaluación de impacto en protección de datos independiente, al no suponer un alto riesgo para los derechos y libertades de las personas físicas. Consideró, por tanto, que las medias de seguridad no garantizaron la confidencialidad e integridad de los datos personales contraviniendo lo dispuesto en los artículos 5.1.f y 32 del RGPD, y que no tenía medidas adecuadas para generar alertas de seguridad ante situaciones sospechosas. También se detectó la falta de doble autenticación y análisis adecuados de riesgos.

Las personas afectadas eran clientes tanto de Telefónica Movistar como de Telefónica O2.

Telefónica implementó acciones correctivas posteriores, como el bloqueo de usuarios comprometidos y la comunicación a los afectados, pero estas fueron consideradas insuficientes para prevenir el incidente. Argumentó que el ataque era muy sofisticado y que los datos no permitían la identificación directa de personas.

La AEPD consideró lo siguiente: «Una vez analizadas las circunstancias concretas del caso, se ha podido determinar sin incurrir en ningún tipo de valoración o interpretación arbitraria la falta de medidas técnicas y organizativas adecuadas, de todo tipo, incluyendo las de seguridad para garantizar, por una parte, el principio de integridad y confidencialidad, y por otro, un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales realizados por Telefónica».

Y resuelve imponer a Telefónica una multa de 500 000 y 800 000 € por infracción de los artículos 5.1.f) y 32 del RGPD, respectivamente.

░ Foto de Markus Spiske en Unsplash, modificada