Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar
El pasado 28 de febrero de 2023, la AEPD impuso en su resolución PS/00068/2022 (la “Resolución”) a la empresa Wunschurlaub, S.L. una multa de 3.000 euros por el almacenamiento de las contraseñas de al menos 37.715 usuarios, sin las medidas de seguridad adecuadas, desde el 1 de junio de 2020 a la actualidad.
Según la Resolución, Wunschurlaub, S.L. almacenaba y transmitía las contraseñas “en claro”. Es decir, se almacenaban o transmitían en texto sin cifrar o sin encriptar, por lo que cualquier persona que tuviera acceso a la información de la contraseña podía leerla sin necesidad de descifrarla.
En este caso concreto, el reclamante, al pinchar en el botón de “olvidó contraseña”, recibió de Wunschurlaub, S.L. un correo electrónico sin cifrar que contenía la contraseña personal elegida por éste.
En la Resolución, la AEPD llega a definir el envío de contraseñas en claro a los usuarios por parte de Wunschurlaub, S.L como una brecha de seguridad de datos personales, concretamente como una brecha de confidencialidad, pero no llega a imputarle dicha infracción.
La AEPD concluye que Wunschurlaub, S.L. infringió el artículo 32 del RGPD relativo a la seguridad del tratamiento de datos.
Conclusión:
Es la primera vez que vemos en el RGPD Blog una sanción de la AEPD a una empresa por falta de medidas adecuadas de seguridad por el almacenamiento de contraseñas en claro.
En este sentido, en un post de aproximadamente tres años, la AEPD hizo varias sugerencias en cuanto a medidas técnicas de seguridad en general y en cuanto al uso de contraseñas en particular: “Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar (…)”.
La lección a sacar de esta Resolución es que aquellas empresas que almacenan y envían contraseñas en claro, deben revisar sus medidas de seguridad, empezando por encriptar o cifrar dichas contraseñas.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios