La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución sancionadora contra Telefónica de España, S.A.U. por infracción de los art.5.1 y 32 del Reglamento General de Protección de Datos (RGPD).
El procedimiento se originó tras la notificación, por parte de Telefónica, de una brecha de seguridad que afectó a más de 1,4 millones de clientes en España. La incidencia, ocurrida en septiembre de 2022, se debió a accesos no autorizados a una aplicación interna mediante credenciales legítimas obtenidas fraudulentamente a través de ataques de smishing (mensajes fraudulentos dirigidos a empleados). Los datos comprometidos incluían números de teléfono fijo y configuraciones técnicas de dispositivos. Aunque Telefónica implementó medidas de mitigación y notificó a los afectados, la AEPD determinó fallos en la gestión preventiva y reactiva de la brecha.
La AEPD concluyó que Telefónica infringió los siguientes artículos del Reglamento General de Protección de Datos (RGPD):
1. Artículo 5.1.f): Incumplimiento del principio de integridad y confidencialidad, al no garantizar medidas de seguridad adecuadas para proteger los datos personales.
2. Artículo 32: Falta de implementación de medidas técnicas y organizativas suficientes para garantizar un nivel de seguridad acorde al riesgo.
Telefónica argumentó que los atacantes emplearon métodos avanzados y dirigidos, fuera de su control razonable; los datos afectados no eran sensibles y su acceso no permitía identificar directamente a personas físicas y que contaba con medidas de seguridad y certificaciones conforme a estándares internacionales.
Sin embargo, la AEPD consideró que estas medidas eran insuficientes para prevenir el ataque y minimizar sus efectos y finalmente ha impuesto una sanción económica de 1,3 millones de euros (800.000€ por la infracción del art.5.1.f) y 500.000€ por la infracción del art.32) para cuyo cálculo se tienen en cuenta los siguientes agravantes:
- Naturaleza y gravedad de la infracción: La AEPD consideró que la brecha afectó a un volumen significativo de personas (más de 1,4 millones) y a datos personales básicos relacionados con servicios de conectividad, lo que representa un alto impacto potencial en la privacidad de los afectados.
- Duración de la infracción: Aunque la brecha fue detectada y mitigada en unos días, la AEPD señaló que hubo un retraso en la adopción de medidas preventivas y correctivas eficaces para evitar el ataque, considerando que algunos accesos indebidos continuaron durante varias fechas.
- Categoría de datos afectados: Si bien Telefónica argumentó que los datos no eran "sensibles" en el sentido estricto del RGPD, la AEPD determinó que la naturaleza de los datos (teléfonos y configuraciones técnicas) podía facilitar otros usos indebidos, como accesos no autorizados a redes privadas.
- Medidas de seguridad insuficientes: La ausencia de una autenticación multifactoren el acceso a las aplicaciones internas y la falta de análisis adecuados de riesgos antes del incidente se consideraron factores críticos que agravaron la responsabilidad de Telefónica.
- Carácter empresarial de la infractora: La AEPD tuvo en cuenta que Telefónica es una gran empresa con una capacidad económica significativa y recursos para implementar medidas de seguridad más avanzadas. Esto aumentó la exigencia de cumplimiento riguroso de la normativa.
- Negligencia en la evaluación de riesgos: Aunque Telefónica presentó análisis de riesgos y medidas organizativas posteriores, la AEPD concluyó que estas no eran suficientes ni adecuadas para el volumen y tipo de datos tratados, ni para la sofisticación del ataque recibido.
Además, la AEPD ha exigido a Telefónica reforzar sus sistemas de seguridad, destacando la importancia de realizar evaluaciones continuas de riesgos y de adoptar medidas proactivas, como la autenticación multifactor, para evitar futuros incidentes.