Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

16/03/2023 Gonzalo Sánchez-Jara No hay comentarios

El pasado 28 de febrero de 2023, la AEPD impuso en su resolución PS/00068/2022 (la “Resolución”) a la empresa Wunschurlaub, S.L. una multa de 3.000 euros por el almacenamiento de las contraseñas de al menos 37.715 usuarios, sin las medidas de seguridad adecuadas, desde el 1 de junio de 2020 a la actualidad.

Según la Resolución, Wunschurlaub, S.L. almacenaba y transmitía las contraseñas “en claro”. Es decir, se almacenaban o transmitían en texto sin cifrar o sin encriptar, por lo que cualquier persona que tuviera acceso a la información de la contraseña podía leerla sin necesidad de descifrarla.

En este caso concreto, el reclamante, al pinchar en el botón de “olvidó contraseña”, recibió de Wunschurlaub, S.L. un correo electrónico sin cifrar que contenía la contraseña personal elegida por éste.

En la Resolución, la AEPD llega a definir el envío de contraseñas en claro a los usuarios por parte de Wunschurlaub, S.L como una brecha de seguridad de datos personales, concretamente como una brecha de confidencialidad, pero no llega a imputarle dicha infracción.

La AEPD concluye que Wunschurlaub, S.L. infringió el artículo 32 del RGPD relativo a la seguridad del tratamiento de datos.

Conclusión:

Es la primera vez que vemos en el RGPD Blog una sanción de la AEPD a una empresa por falta de medidas adecuadas de seguridad por el almacenamiento de contraseñas en claro.

En este sentido, en un post de aproximadamente tres años, la AEPD hizo varias sugerencias en cuanto a medidas técnicas de seguridad en general y en cuanto al uso de contraseñas en particular: “Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar (…)”.

La lección a sacar de esta Resolución es que aquellas empresas que almacenan y envían contraseñas en claro, deben revisar sus medidas de seguridad, empezando por encriptar o cifrar dichas contraseñas.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

Artículos relacionados

Comentarios

Podría interesarle

Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD