{"id":36522,"date":"2025-07-03T14:01:29","date_gmt":"2025-07-03T12:01:29","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&#038;p=36522"},"modified":"2025-07-03T14:01:29","modified_gmt":"2025-07-03T12:01:29","slug":"la-aepd-sanciona-a-carrefour-con-3-200-000e","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/eu\/noticias_boletin\/la-aepd-sanciona-a-carrefour-con-3-200-000e\/","title":{"rendered":"La AEPD sanciona a Carrefour con 3.200.000\u20ac"},"content":{"rendered":"<p>La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, \u201cAEPD\u201d) ha impuesto una sanci\u00f3n total de 3.200.000 \u20ac a Centros Comerciales Carrefour, S.A. (en adelante, \u201cCarrefour\u201d), como consecuencia del incumplimiento del Reglamento General de Protecci\u00f3n de Datos (en adelante, \u201cRGPD\u201d), por m\u00faltiples violaciones relacionadas con la integridad, confidencialidad y comunicaci\u00f3n de brechas de seguridad de datos personales.<\/p>\n<p>La AEPD recibi\u00f3 cinco notificaciones de violaciones de seguridad remitidas por Carrefour, relacionadas con accesos no autorizados a cuentas de clientes mediante t\u00e9cnicas de &#8220;credential stuffing&#8221;. Estas brechas comprometieron datos personales como nombre, apellidos, direcciones postales, correos electr\u00f3nicos, DNI (parcialmente visibles), fechas de nacimiento, tel\u00e9fonos de contacto y datos identificativos adicionales.<\/p>\n<p>A pesar de haber implantado algunas medidas de seguridad, la AEPD determin\u00f3 que Carrefour no adopt\u00f3 suficientes mecanismos t\u00e9cnicos y organizativos adecuados ni comunic\u00f3 correctamente las brechas a los interesados.<\/p>\n<p>La AEPD argumenta su sanci\u00f3n sobre los siguientes extremos:<\/p>\n<ul>\n<li><strong>Falta de medidas t\u00e9cnicas y organizativas adecuadas (art. 32 RGPD):<\/strong> Carrefour no adopt\u00f3 medidas t\u00e9cnicas suficientes para prevenir accesos no autorizados, permitiendo la reutilizaci\u00f3n de credenciales. Aunque contaba con sistemas de seguridad, los informes de auditor\u00eda internos reflejaron vulnerabilidades no corregidas o subsanadas tard\u00edamente, especialmente en la APP y p\u00e1gina web. La AEPD estim\u00f3 que Carrefour no adopt\u00f3 medidas de seguridad proporcionales al riesgo, a pesar de ser una gran empresa del sector retail.<\/li>\n<li><strong>Vulneraci\u00f3n del principio de integridad y confidencialidad (art. 5.1.f RGPD): <\/strong>Se consider\u00f3 que la empresa no protegi\u00f3 adecuadamente los datos personales, lo que permiti\u00f3 accesos il\u00edcitos a miles de cuentas de clientes. En varios casos, se produjo modificaci\u00f3n no autorizada de datos personales (como direcciones de env\u00edo o correos electr\u00f3nicos), o el uso fraudulento del cheque Ahorro, afectando a cientos de clientes.<\/li>\n<li><strong>Falta de comunicaci\u00f3n efectiva a los interesados (art. 34 RGPD): <\/strong>Carrefour no inform\u00f3 oportunamente a los clientes cuyos datos fueron comprometidos en los incidentes, vulnerando su derecho a ser notificados e impidiendo que pudieran tomar medidas para proteger su informaci\u00f3n personal.<\/li>\n<\/ul>\n<p>Por todo lo anterior, la AEPD impone a Carrefour tres sanciones, que suman la cuant\u00eda de 3.200.000\u20ac:<\/p>\n<ul>\n<li>000.000 \u20ac por infracci\u00f3n del art. 5.1.f) RGPD (integridad\/confidencialidad)<\/li>\n<li>000.000 \u20ac por infracci\u00f3n del art. 32 RGPD (seguridad del tratamiento).<\/li>\n<li>000 \u20ac por infracci\u00f3n del art. 34 RGPD (falta de comunicaci\u00f3n a los afectados).<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Datos de recaudaci\u00f3n<\/li>\n<li>Acuerdo internacional sobre fiscalidad digital<\/li>\n<li>Hacienda ultima el reglamento del IRPF para adaptar las subidas y las reducciones de planes de pensiones<\/li>\n<li>Administraci\u00f3n Digital Integral (ADI)<\/li>\n<li>Ventas en Gipuzkoa<\/li>\n<li>Medidas en torno al alquiler<\/li>\n<li>Reforma fiscal en torno al autom\u00f3vil<\/li>\n<li>Proyecto de Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales tratados para fines de prevenci\u00f3n, detecci\u00f3n, investigaci\u00f3n y enjuiciamiento de infracciones penales y de ejecuci\u00f3n de sanciones penales<\/li>\n<li>Propuesta de reforma para la Ley Concursal<\/li>\n<li>El Gobierno Central ultima medidas de solvencia y plantea que parte de su coste lo asuma la banca<\/li>\n<li>El Gobierno reformar\u00e1 el marco legal para poder aumentar las ayudas directas a aut\u00f3nomos y empresas<\/li>\n<li>Creaci\u00f3n de una aplicaci\u00f3n para el c\u00e1lculo de los plazos de duraci\u00f3n de un expediente de contrataci\u00f3n administrativa hasta su formalizaci\u00f3n<\/li>\n<li>El Gobierno Vasco impulsa el programa Azpitek para actualizar el equipamiento cient\u00edfico-t\u00e9cnico de las empresas vascas<\/li>\n<li>La ley \u201cRider\u201d dar\u00e1 tres meses a las empresas para dar de alta a sus trabajadores<\/li>\n<li>El incremento salarial medio pactado en convenio comienza el a\u00f1o con un 1,44%<\/li>\n<li>Se aprueba un proyecto de reglamento que permitir\u00eda, utilizar algoritmos a la Inspecci\u00f3n de Trabajo y la Seguridad Social para la detecci\u00f3n del fraude<\/li>\n<li>El desempleo sube en 76.216 personas en enero<\/li>\n<li>El Gobierno negocia la implantaci\u00f3n un proyecto piloto para la jornada laboral de 4 d\u00edas<\/li>\n<li>Enero finaliza con 739.000 trabajadores en ERTE, 35.000 m\u00e1s que en diciembre<\/li>\n<li>Los registradores quieren proteger las grabaciones de audio y video de las Juntas telem\u00e1ticas<\/li>\n<li>Crear una sociedad con solo un Euro de capital social<\/li>\n<\/ul>\n","protected":false},"featured_media":0,"template":"","tipo_articulo":[3190],"ambito_geografico":[],"boletin":[4453],"class_list":["post-36522","noticias_boletin","type-noticias_boletin","status-publish","hentry","tipo_articulo-noticias-de-interes","boletin-junio-2025"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/noticias_boletin\/36522","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/media?parent=36522"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/tipo_articulo?post=36522"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/ambito_geografico?post=36522"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/eu\/wp-json\/wp\/v2\/boletin?post=36522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}