La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha resuelto un procedimiento sancionador contra un grupo empresarial distribuidor de telefonía móvil, imponiéndole una sanción de 30.000 euros (reducida finalmente a 18.000 euros por reconocimiento de responsabilidad y pago voluntario), por vulneración del artículo 5.1.f) del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativo al principio de integridad y confidencialidad en el tratamiento de datos personales.
El procedimiento se inició tras la notificación de una brecha de seguridad sufrida por la compañía en septiembre de 2023, derivada de un ataque de ransomware que cifró sus bases de datos y ocasionó la exfiltración y publicación de información personal de empleados y exempleados, tanto propios como de otras sociedades para las que actuaba como encargado de tratamiento.
En particular, la AEPD destaca los siguientes puntos:
- Exposición de datos personales: El incidente afectó a 976 personas, comprometiendo información identificativa y de contacto, incluyendo nombre, apellidos, DNI/NIE, dirección postal, correo electrónico y teléfono. Parte de estos datos fueron publicados en la red, generando un riesgo de suplantación de identidad y otros perjuicios.
- Deficiencias en medidas de seguridad: El ataque se facilitó por la existencia de un usuario genérico de VPN (“guest”) con credenciales obsoletas y sin límite de intentos de autenticación, así como por el uso de servidores obsoletos y vulnerables. Además, la entidad no había implantado mecanismos de autenticación reforzada (doble factor), pese a tratarse de accesos remotos de riesgo elevado.
- Doble condición de responsabilidad: La AEPD constató que la empresa actuaba como responsable del tratamiento respecto de sus propios empleados y como encargado del tratamiento respecto de los datos de trabajadores de otras empresas del grupo formulándose dos infracciones distintas del artículo 5.1.f) RGPD.
- Graduación de la sanción: La AEPD impuso 000 euros por la infracción cometida como responsable y 20.000 euros por la cometida como encargado, sumando un total de 30.000 euros. Se valoró como agravante la sensibilidad de los datos (DNI y documentos identificativos), la negligencia en la implantación de medidas básicas de seguridad y el carácter sistemático de los tratamientos de la entidad.
- Medidas adicionales: La AEPD ordenó a la empresa acreditar, en el plazo de seis meses, la adopción de medidas técnicas y organizativas adecuadas para reforzar la seguridad, con especial atención a accesos remotos y a la actualización de sistemas informáticos.
- Terminación del procedimiento: La empresa reconoció su responsabilidad y se acogió al pago voluntario, lo que redujo la sanción a 000 euros y puso fin al procedimiento sancionador.
Esta resolución evidencia la importancia de contar con medidas preventivas efectivas en materia de ciberseguridad, especialmente cuando se manejan datos personales de trabajadores de manera sistemática. La AEPD reitera que la falta de controles básicos como la autenticación reforzada, la gestión adecuada de credenciales o la actualización de sistemas constituye una vulneración grave del principio de confidencialidad.
