Multa de 9,55 millones de euros en Alemania por falta de medidas de seguridad adecuadas en el tratamiento de datos

La Comisión Federal alemana de Protección de Datos y Libertad de la Información (“BfDI”) impuso el 10 de diciembre una multa de 9.550.000 euros a la empresa 1 & 1 Telecommunication (“1 & 1”) por carecer de medidas de seguridad adecuadas en el tratamiento de datos. La resolución aun no es firme.

1 & 1 es un proveedor alemán de telecomunicaciones, que, con 4,4 millones de clientes a finales del 2018, es considerado en Alemania el segundo mayor proveedor de servicios DSL, después de Deutsche Telekom.


Los hechos:

En un comunicado de prensa, la BfDI explica que llegó a su conocimiento el hecho de que cualquier persona que llamaba a la línea directa de atención al cliente de 1 & 1, solo necesitaba proporcionar el nombre del cliente y su fecha de nacimiento para poder acceder a numerosos datos personales del mismo.

La BfDI estimó que la seguridad del proceso de autentificación de clientes de la línea directa era deficiente al ser fácil de descifrar y ponía en riesgo los datos personales de sus 4,4 millones de clientes, por lo que el proceso no cumplía con las exigencias de seguridad del tratamiento del RGPD.


Infracción:

La BfDI concluye que 1 &1 infringió el artículo 32 del RGPD relativo a la seguridad del tratamiento. Pese a que la resolución todavía no se ha publicado, según el comunicado de prensa de la BfDI, para graduar la cuantía de la sanción, la BfDI tuvo en consideración los siguientes factores:

Atenuantes: el alto grado de cooperación de 1 & 1 con la BfDI y las medidas llevadas a cabo por 1 & 1 para remediar la situación, al reforzar las medidas de seguridad del proceso de autentificación del cliente.

Agravante: el elevado número de clientes cuyos datos personales estuvieron expuestos al riesgo de brecha de seguridad.

La BfDI considera que la cuantía de la multa de 9,55 millones se encuentra en la franja baja de las posibles multas que podría haber impuesto a 1 & 1, y enfatiza nuevamente el alto grado de cooperación de 1 & 1 durante la investigación como un fuerte atenuante.

La BfDI también ha indicado que actualmente está investigando los procesos de autentificación de otras empresas de servicios de telecomunicación.

El Comisionado de la BfDI, Ulrich Kelber explica que: “La protección de datos es la protección de un derecho fundamental. Las multas impuestas son una clara señal de que haremos cumplir dicho derecho fundamental. El Reglamento General Europeo de Protección de Datos (RGPD) nos brinda la oportunidad de castigar con contundencia la insuficiente salvaguarda de los datos personales”.


Conclusión:

Nos encontramos nuevamente ante una multa por falta de medidas de seguridad adecuadas en el tratamiento de datos (infracción del artículo 32 del RGPD), como fue el caso en la sanción a RTVE o a Vodafone ONO.

Una de las principales reflexiones a sacar de la presente sanción es la necesidad de que las empresas revisen sus procesos de autentificación de clientes para cerciorarse de que cumplen con los requisitos de seguridad exigidos por el articulo 32 del RGPD y así evitar posibles reclamaciones de clientes ante la AEPD por falta de seguridad.

En el RGPD Blog no somos expertos en procesos de autentificación, pero con un poco de sentido común, podría observarse que el sistema de autentificación de 1 & 1 podía ser descifrado por cualquier persona con una cuenta de Facebook, la cual permite acceso a los nombres y fechas de cumpleaños de sus contactos.

La segunda reflexión es observar cómo la cooperación con una agencia reguladora puede suponer un sólido atenuante. Esto, que parece algo evidente, no sucede siempre. En más de una resolución de la AEPD, las empresas objeto de una investigación no han contestado a los requerimientos de esta.

La presente multa sería la cuarta multa más elevada impuesta hasta la fecha, solo por detrás de la multa en Francia a Google (50 millones de euros), la multa en Austria al Post AG (18 millones de euros) y la multa a Deutsche Wohnen (14,5 millones de euros). No hemos incluido en este cómputo a las empresas British Airways y Marriot International, ya que la agencia británica Information Commissioner Office (ICO) aún no las ha multado formalmente, sino únicamente declarado su intención de multarlas.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x