El procedimiento sancionador deriva de una brecha de seguridad en la que se vio comprometida la confidencialidad de los datos de 13 millones de clientes. La brecha se originó por un ataque de tipo radsomware que resultó en la publicación de datos personales en la deep web, al negarse la compañía a pagar el rescate exigido por los atacantes. El incidente se notificó a la AEPD que realizó investigaciones previas para valorar las medidas de seguridad implementadas por la compañía antes y después de la brecha.
El argumento principal de la compañía fue que el ataque fue muy difícil de prevenir, a pesar de contar con un Sistema de Gestión de Seguridad de la Información, por ser un ciberataque altamente sofisticado e incontrolable por sus medidas de seguridad.
Sin embargo, la AEPD identificó el incumplimiento de dos preceptos del RGPD, en concreto:
- El principio de integridad y confidencialidad (art.5.1.f RGPD) dado que The PhoneHouse no demostró haber adoptado todas las medidas posibles para minimizar el riesgo del acceso no autorizado y la publicación de datos, especialmente considerando el volumen y la naturaleza de la información tratada.
Por esta infracción se impone una sanción de 4 millones.
- La seguridad del tratamiento de datos (art.32 RGPD), por entender que The PhoneHouse no había implementado medidas suficientes para evitar la brecha de seguridad, considerando que las medidas adoptadas no eran proporcionalmente adecuadas para el riesgo del tratamiento masivo de datos personales de sus clientes.
Por esta infracción se impone una sanción de 2,5 millones.
Contra dicha resolución, The Phone House interpuso recurso de reposición alegando, entre otros motivos, que sí había implementado medidas adecuadas al riesgo, que la sanción es desproporcionada, que la obligación de implementar medidas de seguridad es una obligación de medios y no de resultado, y además solicita que se aplique un concurso de infracciones de forma no se sancione por ambos preceptos sino únicamente por uno.
La AEPD rechaza todos los argumentos manteniendo la sanción.
En particular, respecto al concurso de infracciones indica que el artículo 32 (seguridad del tratamiento) exige la implementación de medidas técnicas y organizativas adecuadas, y esta obligación es independiente del artículo 5.1.f), que establece la necesidad de garantizar la integridad y confidencialidad de los datos. La infracción de una disposición no implica necesariamente la de la otra, por lo que cada infracción es sancionable por separado.
Y respecto a la implementación de medidas de seguridad adecuadas, la AEPD indicó que se podrían haber implementado medidas adicionales para prevenir la brecha de seguridad como: mejorar la política de contraseñas; seguridad perimetral y monitorización; formación y concienciación del personal con acciones efectivas; realización periódica de evaluaciones de impacto.