El 27 de diciembre de 2023, la Agencia Española de Protección de Datos (AEPD) impuso a THE PHONE HOUSE SPAIN, S. L. (TPHS) dos multas administrativas por un total de 6 500 000 euros, por incumplir los artículos 5.1.f) y 32 del RGPD, relacionados con la protección y seguridad de los datos personales.
TPHS sufrió un ataque de ransomware que resultó en el acceso y robo de datos personales de 13 millones de personas, incluyendo clientes, empleados y proveedores. Los datos robados fueron publicados en la Deep Web, lo que aumentó el riesgo de fraude y usurpación de identidad. La AEPD considera esto una infracción del artículo 5.1.f) del RGPD, vulnerando el derecho fundamental a la protección de datos personales reconocido en la Constitución Española.
En el caso examinado, se ha constatado una pérdida de confidencialidad debido al acceso no autorizado por parte de un tercero a los datos personales gestionados por TPHS. Este incidente, reconocido por TPHS, refleja un fallo en la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales.
Los datos afectados de empleados, proveedores, clientes y antiguos clientes fueron: nombre, apellidos, DNI, nombre de usuario, puesto laboral, ciudad, fecha de incorporación a la empresa, correo electrónico empresarial teléfono, dirección postal, fecha de nacimiento, género, nacionalidad, número de cuenta bancaria y productos contratados.
Además, la investigación de la AEPD determinó que TPHS no tenía implementadas medidas eficaces para mitigar los riesgos, lo que constituye una violación del artículo 32 del RGPD.
Para imponer y determinar las multas de 4 000 000 € por infracción del artículo 5.1.f) del RGPD y de 2 500 000 € por infracción del artículo 32 de RGPD, se consideraron agravantes:
- la naturaleza y gravedad de la infracción por la pérdida de confidencialidad y control de los datos personales;
- el número de afectados, que ascendió a 13 millones;
- los daños y perjuicios, que fueron altos, pues un tercero robó y publicó los datos;
- la duración de la infracción, pues desde 2018 TPHS no tenía implantadas medidas adecuadas;
- y negligencia, que, aunque no la hubo en la intencionalidad, sí en la implementación de medidas de seguridad.
Siguiendo los preceptos del artículo 32 del RGPD, la AEPD podría imponer medidas para que TPHS ajuste sus tratamientos de datos (seudonimización, cifrado, confidencialidad, integridad, disponibilidad, resiliencia y evaluación regular), incluyendo la revisión de la evaluación del impacto relativa a la protección de datos (EIPD) y la implementación de medidas para mitigar riesgos.
Fuente: https://www.aepd.es/documento/reposicion-ps-00084-2023.pdf