La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha impuesto una sanción total de 3.200.000 € a Centros Comerciales Carrefour, S.A. (en adelante, “Carrefour”), como consecuencia del incumplimiento del Reglamento General de Protección de Datos (en adelante, “RGPD”), por múltiples violaciones relacionadas con la integridad, confidencialidad y comunicación de brechas de seguridad de datos personales.
La AEPD recibió cinco notificaciones de violaciones de seguridad remitidas por Carrefour, relacionadas con accesos no autorizados a cuentas de clientes mediante técnicas de «credential stuffing». Estas brechas comprometieron datos personales como nombre, apellidos, direcciones postales, correos electrónicos, DNI (parcialmente visibles), fechas de nacimiento, teléfonos de contacto y datos identificativos adicionales.
A pesar de haber implantado algunas medidas de seguridad, la AEPD determinó que Carrefour no adoptó suficientes mecanismos técnicos y organizativos adecuados ni comunicó correctamente las brechas a los interesados.
La AEPD argumenta su sanción sobre los siguientes extremos:
- Falta de medidas técnicas y organizativas adecuadas (art. 32 RGPD): Carrefour no adoptó medidas técnicas suficientes para prevenir accesos no autorizados, permitiendo la reutilización de credenciales. Aunque contaba con sistemas de seguridad, los informes de auditoría internos reflejaron vulnerabilidades no corregidas o subsanadas tardíamente, especialmente en la APP y página web. La AEPD estimó que Carrefour no adoptó medidas de seguridad proporcionales al riesgo, a pesar de ser una gran empresa del sector retail.
- Vulneración del principio de integridad y confidencialidad (art. 5.1.f RGPD): Se consideró que la empresa no protegió adecuadamente los datos personales, lo que permitió accesos ilícitos a miles de cuentas de clientes. En varios casos, se produjo modificación no autorizada de datos personales (como direcciones de envío o correos electrónicos), o el uso fraudulento del cheque Ahorro, afectando a cientos de clientes.
- Falta de comunicación efectiva a los interesados (art. 34 RGPD): Carrefour no informó oportunamente a los clientes cuyos datos fueron comprometidos en los incidentes, vulnerando su derecho a ser notificados e impidiendo que pudieran tomar medidas para proteger su información personal.
Por todo lo anterior, la AEPD impone a Carrefour tres sanciones, que suman la cuantía de 3.200.000€:
- 000.000 € por infracción del art. 5.1.f) RGPD (integridad/confidencialidad)
- 000.000 € por infracción del art. 32 RGPD (seguridad del tratamiento).
- 000 € por infracción del art. 34 RGPD (falta de comunicación a los afectados).
