Antecedentes
Una conocida empresa de retail española dedicada a la venta de artículos deportivos notificó a la Agencia Española de Protección de Datos (AEPD) una brecha de seguridad derivada de un ataque de tipo ransomware que afectó tanto a la disponibilidad como a la confidencialidad de los datos personales de millones de personas, entre ellas clientes, empleados y exempleados.
El incidente se produjo el 24 de octubre de 2023, y fue detectado por la empresa el 27 de octubre, momento en el que se confirmó el acceso no autorizado y el cifrado de información sensible. La brecha se notificó a la AEPD el 31 de octubre, procediéndose posteriormente a la comunicación a las personas afectadas.
Como consecuencia del ataque, se vieron comprometidos más de seis millones de datos, que incluían datos identificativos y de contacto (nombre, DNI, dirección, correo electrónico y teléfono), así como datos sensibles, como información económica y datos de salud, sin que constase la aplicación de medidas de cifrado u otras medidas de protección adecuadas que garantizaran la integridad y confidencialidad de la información.
Tras recibir diversas reclamaciones de personas afectadas, la AEPD acordó la apertura de un procedimiento sancionador para analizar posibles incumplimientos de la normativa de protección de datos.
Medidas de seguridad y responsabilidad proactiva
La AEPD concluye que las medidas implantadas por la empresa con carácter previo al incidente no fueron suficientes, lo que permitió el acceso no autorizado y la potencial filtración de datos por parte del atacante.
El ataque evidenció, además, un incumplimiento del principio de integridad y confidencialidad, lo que conlleva, a su vez, una vulneración del principio de responsabilidad proactiva.
Notificación de la brecha y comunicación a los afectados
Si bien la entidad notificó la brecha a la AEPD dentro del plazo legal, la autoridad apreció deficiencias en la gestión del incidente, especialmente en la comunicación a las personas afectadas, que se produjo aproximadamente un mes después de que la empresa tuviera evidencia suficiente de la brecha, incumpliendo el estándar de actuación “sin dilación indebida”.
La resolución de la AEPD subraya, además, el elevado impacto potencial del incidente, agravado por la posible publicación de datos en la dark web y el consiguiente riesgo de suplantación de identidad, fraude y campañas de phishing.
Infracción y sanción
La AEPD impuso la empresa una sanción inicial de 2.600.000 € por infracción del artículo 5.1.f) (vulneración del principio de confidencialidad e integridad) del RGPD. No obstante, al acogerse la entidad al reconocimiento de responsabilidad y al pago voluntario, la multa fue reducida en un 40 %, quedando fijada en 1.560.000 €, junto con la obligación de implantar medidas correctoras para reforzar su sistema de seguridad y la gestión futura de brechas.
La AEPD impone la referida sanción atendiendo, entre otros factores, a:
• La magnitud de la brecha, que afectó a millones de personas en varios Estados miembros.
• La insuficiencia de las medidas de seguridad implantadas con anterioridad al incidente.
• El impacto potencial y real sobre los derechos y libertades de los afectados.
En este último punto, la resolución pone especial énfasis en que la combinación de los datos comprometidos incrementa de forma significativa el nivel de riesgo, ya que no se trataba de datos aislados, sino de un conjunto integrado de información personal que permite construir perfiles completos de los individuos afectados. Esta circunstancia amplía notablemente las posibilidades de abuso y facilita la comisión de fraudes y suplantaciones de identidad con una mayor probabilidad de éxito en caso de vulneración de la confidencialidad.