La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una empresa del sector de las telecomunicaciones por una infracción del artículo 32 del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativa a la falta de adopción de medidas de seguridad adecuadas en el tratamiento de datos personales.
El procedimiento se inició a raíz de una reclamación presentada por un cliente, quien manifestó haber recibido un correo electrónico informándole de la actualización del área privada de clientes, en el que se incluían sus credenciales completas de acceso (usuario y contraseña), remitidas en texto plano y tras haberse modificado la contraseña sin previo aviso. El acceso al área privada permitía consultar datos personales de carácter sensible, sin que existiera autenticación multifactor.
En el análisis del expediente, la AEPD constata que las credenciales de acceso constituyen información especialmente sensible, al permitir el acceso a un conjunto amplio de datos personales. La Agencia recuerda que el envío de usuario y contraseña mediante correo electrónico ordinario supone una exposición indebida de elementos críticos de autenticación, generando un riesgo claro para la confidencialidad de los datos, con independencia de que finalmente se haya producido o no un acceso no autorizado.
La resolución rechaza los argumentos de la entidad relativos al carácter puntual y humano del error, así como la inexistencia de perjuicio efectivo, señalando que el artículo 32 RGPD impone una obligación de adoptar medidas adecuadas al riesgo, sin que sea necesario que el daño llegue a materializarse. Además, la AEPD indica que la adopción de medidas correctoras con posterioridad al incidente no elimina el incumplimiento producido en el momento de los hechos.
La AEPD fundamenta la sanción en los siguientes extremos:
- Existencia de un tratamiento de datos personales que incluye credenciales de acceso a un área privada de clientes.
- Comunicación de usuario y contraseña en texto claro a través de un canal inseguro.
- Insuficiencia de las medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
- Irrelevancia de la inexistencia de accesos no autorizados o de un daño efectivo para apreciar la infracción.
Con esta resolución, la AEPD reitera que la gestión de credenciales de acceso requiere medidas de seguridad reforzadas, y que prácticas como el envío de contraseñas por correo electrónico no resultan compatibles con las exigencias del RGPD, aun cuando se adopten medidas correctoras inmediatas.
