La AEPD acaba de publicar las dos multas millonarias que impone al gigante energético, ambas debido a la infracción de los artículos 5.1.f) y 32 del RGPD, como consecuencia de una brecha de seguridad, sufridas por dos compañías del grupo, ocurrida en marzo de 2022.
Mediante el ciberataque, fueron sustraídos más de un millón y medio de datos personales de clientes de bases de datos compartidas por dos sociedades del Grupo Iberdrola – la matriz y la distribuidora- (nombres y apellidos, números de DNI, teléfonos y direcciones de correo). Los clientes de la eléctrica empezaron a recibir llamadas y correos comerciales para vender cambios de suministro eléctrico, sospechosamente personalizadas con los datos del cliente.
Iberdrola, tan pronto como pudo, comunicó a todos sus clientes haber sufrido un ciberataque que había vulnerado los datos personales de una elevada cantidad de usuarios y notificó a la Agencia Española de Protección de Datos la brecha de seguridad.
El principal motivo de las multas es la falta de supervisión de la seguridad de los sistemas del grupo desde el año 2019. La AEPD describe la vulnerabilidad como «identificable y evitable», por lo que sanciona a la empresa de distribución eléctrica del Grupo Iberdrola (i-DE) con 3,5 millones de euros y a la matriz Iberdrola S.A., con de 3 millones.
Link a las resoluciones de la AEPD