La sanción pone fin al procedimiento sancionador iniciado por 9 clientes que interpusieron una reclamación ante la AEPD después de haber sido comunicados por XFERA MOVILES, S.A.U. (XFERA) de la existencia de una brecha de seguridad que afectó a sus datos.
La brecha afectó a la aplicación Vista4Retail (VFR) utilizada por XFERA en sus canales presenciales para consultar datos de los clientes. En concreto, la causa del incidente tiene su origen en un trabajo realizado sobre la configuración de DNS que permitió acceso temporal sin autenticación de doble factor, de manera que los datos de decenas de miles de clientes (datos identificativos, de contacto, información de servicios y datos financieros) fueron potencialmente expuestos. La brecha fue notificada a la AEPD y a los afectados y la AEPD cerró sus actuaciones considerando que no procedían medidas adicionales.
Sin embargo, tras las reclamaciones presentadas, la AEPD abrió un procedimiento sancionador, estimando que se había vulnerado el principio de integridad y confidencialidad del art.5.1.f) del Reglamento General de Protección de Datos (RGPD) porque los datos personales no estaban cifrados, anonimizados y protegidos de forma ininteligible.
Adicionalmente, la AEPD considera que existe una infracción del art.32 del RGPD por no tener implementadas medidas técnicas y organizativas apropiadas para garantizar la seguridad adecuada. En concreto, se señala la ausencia de validación de cambios en DNS y permisos no restringidos de acceso en horarios no habituales.
Si bien XFERA alegó la aplicación del principio “no bis in idem” para evitar la doble sanción, la AEPD lo descarta defendiendo que ambas sanciones tutelan bienes jurídicos distintos con fundamentos diferentes e indicando que:
- El artículo 5.1.f) RGPD sanciona la pérdida de confidencialidad de datos personales que se materializó. Es decir, el resultado final de que los datos quedaron expuestos y accesibles; mientras que
- El artículo 32 RGPD sanciona la deficiencia de las medidas de seguridad implantadas técnicamente. Comprende la obligación de implementar medidas técnicas y organizativas de seguridad apropiadas, independientemente de si se produjo o no la brecha.
Y se basa en la Sentencia de la Audiencia Nacional de 23 de julio de 2021 que establece que para violar el principio "non bis in ídem" se requiere triple identidad: subjetiva (mismo sujeto), fáctica (mismos hechos) y causal (mismo fundamento) siendo que en este caso solo acaece la identidad subjetiva.
Para el cálculo de la sanción se tienen en cuenta los siguientes agravantes: (i) negligencia en la infracción, (ii) los antecedentes de otras sanciones impuestas a XFERApor incumplimiento del art.32 y (iii) la vinculación de la actividad de XFERA con el tratamiento de datos dado que por su condición de operadora de telecomunicaciones la normativa le exige mayor rigor en la adopción de medidas de seguridad.
Finalmente, la AEPD impone una sanción de 2.500.000€ por el incumplimiento del art.5.1.f) y de 1.500.000€ por el incumplimiento del art.32.