The Phone House y la Agencia de Protección de Datos se enfrentan por una multa de 6,5 millones de euros
Este pasado mes de noviembre se ha estado debatiendo en la Audiencia Nacional una de las mayores multas impuestas por la Agencia Española de Protección de Datos (AEPD): 6,5 millones de euros a la tienda de móviles, tarifas y tecnología The Phone House por el hackeo sufrido en abril de 2021.
Hackeo de datos a The Phone House
Como se ha mencionado anteriormente, en el mes de abril del año 2021 The Phone House sufrió la filtración y secuestro de unos 100 GB de datos personales de aproximadamente hasta tres millones (3.000.000) de clientes, exclientes, empleados y proveedores.
La información sustraída alcanzaba datos personales como nombres y apellidos completos, DNI, direcciones, correos electrónicos, números de teléfono, nacionalidades, fechas de nacimiento, datos bancarios e incluso detalles de los dispositivos y productos contratados, como seguros y códigos IMEI de teléfonos móviles.
The Phone House sufrió un ataque de ransomware por un conocido grupo de hackers que acostumbra a secuestrar información de empresas para posteriormente ofrecer un “rescate” a cambio de no publicar la información adquirida.
En este caso, los delincuentes cibernéticos exigieron el pago de un rescate, cuya cantidad no fue divulgada, con el fin de evitar que se divulgara información confidencial en la deep web. Cuando la empresa se negó a ceder ante la extorsión, los atacantes hicieron pública la información robada, poniendo a millones de personas en riesgo de sufrir fraudes y robos de identidad.
Infracción y sanción de la Agencia Española de Protección de Datos (AEPD)
De acuerdo con lo que se detalla en la resolución de la Audiencia, fechada en el pasado mes de septiembre, la Agencia de Protección de Datos emitió el 27 de diciembre del año 2023 una resolución sancionadora en la que se le impuso una multa de 6,5 millones de euros debido a un concurso de infracciones.
Concretamente esta multa se desglosa en dos infracciones:
- Por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, una multa administrativa de 4.000.000 € (cuatro millones de euros).
- Por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa administrativa de 2.500.000,00 € (dos millones quinientos mil euros).
El artículo 5.1.f) RGPD hace referencia a que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
En este caso, si bien es cierto que en muchas ocasiones no se puede prever una brecha de seguridad, la AEPD establece que: no tiene un criterio de archivo en el supuesto de ciberataques, del tipo que sea, ni tampoco, por tanto, respecto de aquellos afectados por un ransomware, sino que, en materia de protección de datos, las medidas técnicas y organizativas de seguridad a adoptar por los responsables del tratamiento y demás obligaciones a cumplir exigidas por el RGPD, deben ser las adecuadas en relación con los concretos riesgos que suponen los específicos tratamientos que realice cada responsable.
En este caso la AEPD, entiende que The Phone House no dispuso de las medidas técnicas u organizativas apropiadas.
Por otro lado, el artículo 32 RGPD trata sobre la seguridad del tratamiento, es decir que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, The Phone House, como responsable del tratamiento, debió haber aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
En este sentido la AEPD destaca que la deficiencia del algoritmo de encriptado es una verdadera deficiencia, un algoritmo nada seguro y ya puesto ello de manifiesto años antes por el CCN, aunque fuera recogido como recomendación en el informe señalado. Lo que refleja el informe es que TPHS estaba utilizando ese algoritmo y que el mismo es deficiente lo cual se conoce desde hace años. No debe olvidarse que el atacante consiguió las credenciales de varios usuarios de TPHS.
Por todo ello la AEPD considera que The Phone House no cumplió adecuadamente con la seguridad del tratamiento.
La empresa The Phone House Spain, que está bajo el control del grupo cotizado en España Global Dominion Access, interpuso un recurso contencioso-administrativo ante la resolución negativa por silencio administrativo de la sanción. En este recurso solicitaba la suspensión cautelar del pago hasta que los magistrados resolvieran si la medida podía ser anulada o, en su caso, confirmada. Argumentaba que la «significativa» suma reclamada la obligaba a «dejar de cumplir con sus obligaciones financieras y empresariales», por lo que habrá que esperar al pronunciamiento de la Audiencia Nacional para conocer cómo terminará este asunto.
María comenzó su contacto con el derecho de las nuevas tecnologías en la carrera en la Universidad Complutense de Madrid. Actualmente se encuentra cursando el Máster Universitario en Derecho de las Telecomunicaciones, Protección de datos, Audiovisual y Sociedad de la Información en la Universidad Carlos III de Madrid, con el objetivo de certificarse como DPO.
Artículos Relacionados
The Phone House España afectado por ransomware
Primeras multas de la AEPD de más de 40.000 euros por aprovecharse de los datos de los clientes que usan el wifi de los negocios
La AEPD ordena una medida cautelar para Meta
Comunidad de vecinos y grupo de WhatsApp. ¿Qué dice la AEPD?
La AEPD y el supervisor europeo analizan los retos que supone el tratamiento de neurodatos
La AEPD ordena una medida cautelar que impide a Worldcoin a seguir tratando datos personales en España