{"id":36986,"date":"2025-09-05T13:14:36","date_gmt":"2025-09-05T11:14:36","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&#038;p=36986"},"modified":"2025-09-05T13:14:36","modified_gmt":"2025-09-05T11:14:36","slug":"la-aepd-impone-una-multa-de-30-000-euros-a-un-distribuidor-de-telefonia-movil","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/es\/noticias_boletin\/la-aepd-impone-una-multa-de-30-000-euros-a-un-distribuidor-de-telefonia-movil\/","title":{"rendered":"La AEPD impone una multa de 30.000 euros a un distribuidor de telefon\u00eda m\u00f3vil"},"content":{"rendered":"<p>La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, \u201cAEPD\u201d) ha resuelto un procedimiento sancionador contra un grupo empresarial distribuidor de telefon\u00eda m\u00f3vil, imponi\u00e9ndole una sanci\u00f3n de <strong>30.000 euros<\/strong> (reducida finalmente a <strong>18.000 euros<\/strong> por reconocimiento de responsabilidad y pago voluntario), por vulneraci\u00f3n del art\u00edculo <strong>5.1.f)<\/strong> del Reglamento General de Protecci\u00f3n de Datos (en adelante, \u201cRGPD\u201d), relativo al principio de integridad y confidencialidad en el tratamiento de datos personales.<\/p>\n<p>El procedimiento se inici\u00f3 tras la <strong>notificaci\u00f3n de una brecha de seguridad<\/strong> sufrida por la compa\u00f1\u00eda en septiembre de 2023, derivada de un ataque de ransomware que cifr\u00f3 sus bases de datos y ocasion\u00f3 la exfiltraci\u00f3n y publicaci\u00f3n de informaci\u00f3n personal de empleados y exempleados, tanto propios como de otras sociedades para las que actuaba como encargado de tratamiento.<\/p>\n<p>En particular, la AEPD destaca los siguientes puntos:<\/p>\n<ul>\n<li><strong>Exposici\u00f3n de datos personales:<\/strong> El incidente afect\u00f3 a <strong>976 personas<\/strong>, comprometiendo informaci\u00f3n identificativa y de contacto, incluyendo nombre, apellidos, DNI\/NIE, direcci\u00f3n postal, correo electr\u00f3nico y tel\u00e9fono. Parte de estos datos fueron publicados en la red, generando un riesgo de suplantaci\u00f3n de identidad y otros perjuicios.<\/li>\n<li><strong>Deficiencias en medidas de seguridad:<\/strong> El ataque se facilit\u00f3 por la existencia de un usuario gen\u00e9rico de VPN (\u201cguest\u201d) con credenciales obsoletas y sin l\u00edmite de intentos de autenticaci\u00f3n, as\u00ed como por el uso de servidores obsoletos y vulnerables. Adem\u00e1s, la entidad no hab\u00eda implantado mecanismos de autenticaci\u00f3n reforzada (doble factor), pese a tratarse de accesos remotos de riesgo elevado.<\/li>\n<li><strong>Doble condici\u00f3n de responsabilidad:<\/strong> La AEPD constat\u00f3 que la empresa actuaba como responsable del tratamiento respecto de sus propios empleados y como encargado del tratamiento respecto de los datos de trabajadores de otras empresas del grupo formul\u00e1ndose dos infracciones distintas del art\u00edculo 5.1.f) RGPD.<\/li>\n<li><strong>Graduaci\u00f3n de la sanci\u00f3n:<\/strong> La AEPD impuso <strong>000 euros<\/strong> por la infracci\u00f3n cometida como responsable y <strong>20.000 euros<\/strong> por la cometida como encargado, sumando un total de <strong>30.000 euros<\/strong>. Se valor\u00f3 como agravante la sensibilidad de los datos (DNI y documentos identificativos), la negligencia en la implantaci\u00f3n de medidas b\u00e1sicas de seguridad y el car\u00e1cter sistem\u00e1tico de los tratamientos de la entidad.<\/li>\n<li><strong>Medidas adicionales:<\/strong> La AEPD orden\u00f3 a la empresa acreditar, en el plazo de seis meses, la adopci\u00f3n de <strong>medidas t\u00e9cnicas y organizativas adecuadas<\/strong> para reforzar la seguridad, con especial atenci\u00f3n a accesos remotos y a la actualizaci\u00f3n de sistemas inform\u00e1ticos.<\/li>\n<li><strong>Terminaci\u00f3n del procedimiento:<\/strong> La empresa reconoci\u00f3 su responsabilidad y se acogi\u00f3 al pago voluntario, lo que redujo la sanci\u00f3n a <strong>000 euros<\/strong> y puso fin al procedimiento sancionador.<\/li>\n<\/ul>\n<p>Esta resoluci\u00f3n evidencia la importancia de contar con <strong>medidas preventivas efectivas<\/strong> en materia de ciberseguridad, especialmente cuando se manejan datos personales de trabajadores de manera sistem\u00e1tica. La AEPD reitera que la <strong>falta de controles b\u00e1sicos<\/strong> como la autenticaci\u00f3n reforzada, la gesti\u00f3n adecuada de credenciales o la actualizaci\u00f3n de sistemas constituye una vulneraci\u00f3n grave del principio de confidencialidad.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Datos de recaudaci\u00f3n<\/li>\n<li>Acuerdo internacional sobre fiscalidad digital<\/li>\n<li>Hacienda ultima el reglamento del IRPF para adaptar las subidas y las reducciones de planes de pensiones<\/li>\n<li>Administraci\u00f3n Digital Integral (ADI)<\/li>\n<li>Ventas en Gipuzkoa<\/li>\n<li>Medidas en torno al alquiler<\/li>\n<li>Reforma fiscal en torno al autom\u00f3vil<\/li>\n<li>Proyecto de Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales tratados para fines de prevenci\u00f3n, detecci\u00f3n, investigaci\u00f3n y enjuiciamiento de infracciones penales y de ejecuci\u00f3n de sanciones penales<\/li>\n<li>Propuesta de reforma para la Ley Concursal<\/li>\n<li>El Gobierno Central ultima medidas de solvencia y plantea que parte de su coste lo asuma la banca<\/li>\n<li>El Gobierno reformar\u00e1 el marco legal para poder aumentar las ayudas directas a aut\u00f3nomos y empresas<\/li>\n<li>Creaci\u00f3n de una aplicaci\u00f3n para el c\u00e1lculo de los plazos de duraci\u00f3n de un expediente de contrataci\u00f3n administrativa hasta su formalizaci\u00f3n<\/li>\n<li>El Gobierno Vasco impulsa el programa Azpitek para actualizar el equipamiento cient\u00edfico-t\u00e9cnico de las empresas vascas<\/li>\n<li>La ley \u201cRider\u201d dar\u00e1 tres meses a las empresas para dar de alta a sus trabajadores<\/li>\n<li>El incremento salarial medio pactado en convenio comienza el a\u00f1o con un 1,44%<\/li>\n<li>Se aprueba un proyecto de reglamento que permitir\u00eda, utilizar algoritmos a la Inspecci\u00f3n de Trabajo y la Seguridad Social para la detecci\u00f3n del fraude<\/li>\n<li>El desempleo sube en 76.216 personas en enero<\/li>\n<li>El Gobierno negocia la implantaci\u00f3n un proyecto piloto para la jornada laboral de 4 d\u00edas<\/li>\n<li>Enero finaliza con 739.000 trabajadores en ERTE, 35.000 m\u00e1s que en diciembre<\/li>\n<li>Los registradores quieren proteger las grabaciones de audio y video de las Juntas telem\u00e1ticas<\/li>\n<li>Crear una sociedad con solo un Euro de capital social<\/li>\n<\/ul>\n","protected":false},"featured_media":0,"template":"","tipo_articulo":[3190],"ambito_geografico":[],"boletin":[4456],"class_list":["post-36986","noticias_boletin","type-noticias_boletin","status-publish","hentry","tipo_articulo-noticias-de-interes","boletin-agosto-2025"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin\/36986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media?parent=36986"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/tipo_articulo?post=36986"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/ambito_geografico?post=36986"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/boletin?post=36986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}