En diciembre de 2024, la AEPD acordó iniciar un procedimiento sancionador contra la empresa SHANGHAI MOONTON TECHNOLOGY CO. LTD, especializada en videojuegos, tras recibir en noviembre la notificación por parte de la empresa misma de una brecha de seguridad, al publicarse cierta información relacionada con los usuarios de su foro en una página web tercera.
El equipo de seguridad, el día siguiente al acaecimiento de la brecha, se dio cuenta de que uno de los moderadores del foro había publicado información de los usuarios (nombres, email, sexo, dirección IP, etc.) en una página web ajena, dejando al descubierto datos básicos de sus usuarios.
La empresa SHANGHAI MOONTON TECHNOLOGY CO. LTD empezó a recabar toda la información posible en relación con la brecha de seguridad y sus posibles efectos para determinar cuántos usuarios habían sido afectados en cada país de la UE. En España los usuarios afectados fueron 442, mientras que a nivel mundial, fueron 800.670. La compañía finalmente notificó la brecha a la AEPD varias semanas después.
La AEPD tras efectuar sus investigaciones, decide imponer una multa de 90.000 euros a la empresa de videojuegos, debido al incumplimiento de los siguientes preceptos del RGPD:
La primera infracción se refiere al art. 5.1 c) que establece el principio de minimización de datos. La compañía otorgó acceso a más datos de los necesarios a los moderadores del foro. La Agencia considera que el correo electrónico y la dirección IP no eran estrictamente necesarios para los fines pretendidos (es decir, el bloqueo o eliminación al acceso al foro, revisión y eliminación de publicaciones, la aprobación de solicitudes y resolución de consultas). La AEPD les impone una multa de 30.000€.
La segunda infracción se refiere al art. 5.1 f), que establece el principio de confidencialidad. La infracción se debe a la publicación en una web de terceros de los datos de ID de usuario, email y dirección IP de 442 usuarios ubicados en España. La AEPD les impone una multa de 30.000€.
La tercera infracción se refiere al art. 32, que establece la obligación de implementar medidas de seguridad por parte del responsable del tratamiento. La compañía otorgó derechos de administrador al moderador, sin tener la condición de empleado. El Moderador era un mero usuario del Foro que, voluntariamente, se ofreció a ayudar a moderar el Foro. La única medida de seguridad existente era la obligación por el usuario-moderador de adherirse al Código de Conducta interno de la empresa. Por lo tanto, la Agencia considera que tales medidas implantadas con anterioridad a producirse la violación de la seguridad de los datos personales resultaban a todas luces insuficientes y no pueden considerarse adecuadas en los términos del artículo 2 RGPD. Por ello, les impone una multa de 15.000€.
La cuarta infracción se refiere al art. 33 que establece la obligación de notificar a autoridad de control las brechas de seguridad. En el presente caso, consta que MOONTON sufrió una violación de la seguridad de los datos personales en fecha 2 de noviembre de 2022, de la cual tuvo conocimiento el 4 de noviembre de 2022 y no informó a la Agencia hasta el 21 de noviembre de 2022. Por ello, la AEPD les impone una multa de 5.000€.
La quinta y última infracción se refiere al art 27 que establece la obligación de designar y notificar a la Agencia el representante en la UE, cuando una empresa es extranjera, pero ofrece sus productos y servicios a interesados en la Unión Europea. La compañía estuvo como mínimo hasta finales de enero de 2023 sin designar un representante en la UE a pesar de encontrarse en China y ofrecer sus servicios a interesados en la UE. Por ello, la AEPD les impone una multa de 10.000€.
El procedimiento se ha cerrado mediante el pago voluntario de la multa por parte de la compañía sancionada.