L’Agencia Española de Protección de Datos (AEPD) ha imposat recentment una sanció a l’empresa Saunier-Tec, Mantenimientos de Calor y Frio SL de Madrid per no haver comunicat ni a l’Agència ni a les persones afectades, que s’havia produït una falla de seguretat en el seu sistema de protecció de base de dades, que va ser hackejada, i que va exposar a mans de tercers dades confidencials dels clients de la companyia. La multa s’ha posat a instàncies d’una denuncia presentada per un particular l’octubre de 2019. Aquesta persona va rebre durant aquell mes diversos correus electrònics en els quals se li demanava canviar dades personals. Els e-mails en qüestió s’enviaven en nom de l’empresa Saunier-Tec, però l’extensió d’on procedien els correus no era l’oficial de l’empresa, i incloïen un arxiu adjunt que la usuària no va obrir. La persona que va rebre els correus, davant el dubte raonable que no es tractés d’un intent de pishing, es va posar en contacte amb Saunier-Tec per preguntar-los si la seva base de dades havia estat hackejada. L’empresa va admetre que havien patit un atac informàtic que havia comportat una “fuga de dades”, però no va respondre a la petició de la usuària de posar-la en contacte amb la responsable de protecció de dades de la companyia, malgrat que el robatori de dades havia esta significatiu, atès que els pirates informàtics ara disposaven de les dades personals i bancàries dels usuaris de la firma.
Davant de la manca de resposta i atès que tampoc se l’havia assabentat que les seves dades personals estaven en mans de tercers que en podien fer un mal ús, la persona afectada va denunciar el cas a l’Agencia Española de Protección de Datos que ha conclòs que l’empresa no va actuar adequadament i que va infringir el Reglament General de Protecció de Dades (RGPD). Segons l’AEPD, Saunier-Tec tenia l’obligació de comunciar als seus clients que la seva base de dades havia estat hackejada per així prevenir-los que podien ser objecte d’un intent d’estafa; tanmateix, la firma és responsable d’haver ocultat que els pirates informàtics havien infectat amb malware el compte de correu d’una treballadora de la qual se’n va suplantar la identitat per tal de fer servir correus que se li havien enviat.
Si bé l’Agència reconeix que Saunier-Tec va prendre ràpidament mesures per restablir la seguretat informàtica, va posar en risc, tal com recull l’article 33 del RGPD, “els drets i llibertats de les persones físiques” en no avisar “a l’autoritat de control competent (l’AEPD)” la fuga de dades. Aquesta comunicació s’hauria d’haver produït a les 72 hores d’haver tingut coneixement de l’incident; tanmateix també s’hauria d’haver avisat els usuaris afectats per la violació de les seves dades personals, circumstància contemplada en l’article 34 de l’esmentat reglament.
Atesa la provada falta de diligència i els riscos que això va suposar per a tercers, l’AEPD va imposar a la companyia una multa de 6.000€. Saunier-Tec no va apel·lar al dictamen i va pagar finalment el 24 de juny d’enguany 3.600€, acollint-se a les reduccions econòmiques establertes en la mateixa sanció en reconèixer implícitament la seva responsabilitat.
Si esteu interessats en el conjunt de la resolució, us la podeu descarregar en aquest enllaç.