LaAgencia Española de Protección de Datos (AEPD) ha impuesto recientemente una sanción a la empresa Saunier-Tec, Mantenimientos de Calor y Frio SL de Madrid por no haber comunicado ni a la Agencia ni a las personas afectadas, que se había producido una falla de seguridad en su sistema de protección de base de datos, que fue hackeada, y que expuso en manos de terceros datos confidenciales de los clientes de la compañía. La multa se ha puesto a instancias de una denuncia presentada por un particular en octubre de 2019. Esta persona recibió durante ese mes varios correos electrónicos en los que se le pedía cambiar datos personales. Los emails en cuestión se enviaban en nombre de la empresa Saunier-Tec, pero la extensión de donde procedían los correos no era el oficial de la empresa, e incluían un archivo adjunto que la usuaria no abrió . La persona que recibió los correos, ante la duda razonable de que no se tratara de un intento de pishing, se puso en contacto con Saunier-Tec para preguntarles si su base de datos había sido hackeada. La empresa admitió que habían sufrido un ataque informático que había supuesto una «fuga de datos», pero no respondió a la petición de la usuaria de ponerla en contacto con la responsable de protección de datos de la compañía, aunque el robo de datos había sido significativo, dado que los piratas informáticos ahora disponían de los datos personales y bancarios de los usuarios de la firma.
Ante la falta de respuesta y dado que tampoco se la había enterado de que sus datos personales estaban en manos de terceros que podían hacer un mal uso, la persona afectada denunció el caso a laAgencia Española de Protección de Datos que ha concluido que la empresa no actuó adecuadamente y que infringió el Reglamento General de Protección de Datos (RGPD). Según la AEPD, Saunier-Tec tenía la obligación de comunciar a sus clientes que su base de datos había sido hackeada para así prevenir que podían ser objeto de un intento de estafa; sin embargo, la firma es responsable de haber ocultado que los piratas informáticos habían infectado con malware la cuenta de correo de una trabajadora de la que se suplantó la identidad a fin de utilizar correos que se le habían enviado.
Si bien la Agencia reconoce que Saunier-Tec tomó rápidamente medidas para restablecer la seguridad informática, puso en riesgo, tal y como recoge el artículo 33 del RGPD, «los derechos y libertades de las personas físicas» en no avisar «a la autoridad de control competente (la AEPD) «la fuga de datos. Esta comunicación se debería haber producido a las 72 horas de haber tenido conocimiento del incidente; sin embargo también se debería haber avisado a los usuarios afectados por la violación de sus datos personales, circunstancia contemplada en el artículo 34 de dicho reglamento.
Dada la probada falta de diligencia y los riesgos que ello supuso para terceros, la AEPD impuso a la compañía una multa de 6.000 €. Saunier-Tec no apeló al dictamen y pagó finalmente el 24 de junio de este año 3.600 €, acogiéndose a las reducciones económicas establecidas en la misma sanción al reconocer implícitamente su responsabilidad.
Si está interesado en el conjunto de la resolución, te la puedes descargar en este enlace.