En 2023, Carrefour realizó varias notificaciones de brechas de seguridad sufridas por un ataque conocido como “credential stuffing”, consistente en el uso automatizado de credenciales previamente filtradas en otras brechas de seguridad. En este caso, afectó a “Clientes Club Carrefour”, un área que tiene una amplia variedad de finalidades orientadas al marketing, como los “cheques ahorro”, entre otras. Tras las labores de investigación realizadas por la Subdirección General de Inspección de Datos (SGID) para el esclarecimiento de los hechos, quedó constancia de que entre los datos afectados se encontraban el DNI, nombre, estado civil o datos económicos y financieros. Ante estos hechos, la Agencia Española de Protección de Datos (AEPD) acordó iniciar procedimiento sancionador a la entidad investigada.
Aunque durante los ataques se vieron afectadas un total de 118.895 credenciales, Carrefour manifestó que realmente la integridad y confidencialidad de los datos personales sólo se comprometió en 973 casos. En cuanto al resto de supuestos, alegó que se trataba de cuentas de las que el tercero obtuvo confirmación de la validez de credenciales, lo que no implica el acceso a las mismas. Otra de las alegaciones efectuadas por el gigante de los supermercados versa sobre la adopción de medidas técnicas y organizativas adecuadas para que dichas vulneraciones se minoren o no vuelvan a producirse.
Frente a ello, la AEPD ha respondido a dichas alegaciones señalando, en primer lugar, que el número de cuentas afectadas es 118.895 al entenderse el concepto de dato personal en sentido amplio y señalando que los datos de usuario y contraseña son datos personales. En cuanto a la confidencialidad e integridad de los datos, la AEPD se ha pronunciado estableciendo que, pese a que la afectación se reduce a 973 casos, Carrefour no ha cumplido con los deberes de garantía de seguridad de los datos que se imponen en el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que la insuficiencia de medidas adoptadas por la entidad lleva a un incumplimiento de lo establecido en el artículo 32 RGPD y, por último, que la empresa ha incumplido con el artículo 34 de la misma normativa al no comunicar la violación de la seguridad de los datos personales a los interesados.
Finalmente, tras la tipificación y calificación de la infracción, la AEPD ha procedido a imponer sanciones a Carrefour consistentes en multas que ascienden a 3,2 millones de euros y a comunicar las brechas de datos personales a los afectados cuyos datos se hayan visto afectados en el plazo de un mes desde que la resolución devenga firme y ejecutiva.