Una de las mayores multas impuestas por la Agencia Española de Protección de Datos (AEPD) en toda su historia se está debatiendo ahora mismo en la Audiencia Nacional. En un caso sin precedentes en España, la cadena de tiendas de tecnología y telefonía The Phone House se juega tener que pagar o no una sanción de 6,5 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) el año pasado.
¿El motivo? La filtración y secuestro de aproximadamente 100 GB de datos personales de hasta 13 millones de clientes, ex-clientes, empleados y proveedores.
La información robada incluía datos como nombres completos, DNI, direcciones, correos electrónicos, números de teléfono, nacionalidades, fechas de nacimiento, datos bancarios e incluso detalles de los dispositivos y productos contratados, como seguros y códigos IMEI de teléfonos móviles.
El ciberataque: secuestro de datos y filtración masiva
El origen de la controversia remonta a abril de 2021, cuando The Phone House fue víctima de un devastador ataque de ransomware perpetrado por el grupo Babuk, conocido en la 'deep web' por secuestrar información de empresas. Los hackers tomaron control de los sistemas de la empresa, cifrando archivos y trasladando la información a servidores externos.
Los ciberdelincuentes exigieron el pago de un rescate no revelado para evitar la publicación de información sensible en la deep web. Tras la negativa de la compañía a ceder al chantaje, Babuk publicó la información robada, exponiendo a millones de personas a riesgos de fraude y suplantación de identidad.
Fallos de seguridad y negligencias según la AEPD
La AEPD determinó que el robo de información fue facilitado por importantes fallos en las medidas de seguridad de la empresa. Según el informe de la agencia, la negligencia de The Phone House en la gestión de los datos personales de sus usuarios fue un factor determinante en la magnitud de la filtración.
Por ello, la multa de la AEPD se desglosa en dos partes:
- 3,5 millones de euros por vulnerar el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que exige garantizar la seguridad de los datos personales.
- 3 millones de euros por incumplir el artículo 32 del RGPD, relativo a la implementación de medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad adecuado al riesgo.
Entre los puntos más críticos se señalaron:
- Datos sin anonimización ni cifrado: La información almacenada no estaba protegida mediante mecanismos de anonimización o cifrado, lo cual facilitó el acceso directo a datos personales sensibles.
- Falta de autenticación en el acceso de administradores: La empresa no contaba con un sistema de autenticación de doble factor para las cuentas administrativas, lo que dejó un acceso vulnerable y fácilmente explotable por los atacantes.
- Configuración inadecuada del cortafuegos: La AEPD también indicó que el cortafuegos estaba configurado de manera insuficiente, permitiendo el acceso desde IPs ubicadas en países como Bulgaria y Moldavia, así como desde redes TOR, lo que facilitó el ingreso de los hackers.
Ante la magnitud de los daños y el volumen de datos comprometidos, la AEPD calificó de "grave negligencia" el comportamiento de The Phone House, considerando que, como empresa de gran envergadura, la firma debía contar con medidas de seguridad acordes a los altos riesgos inherentes a su actividad. La empresa maneja y procesa datos masivos de clientes y empleados, y además realiza análisis de perfilado, por lo que su responsabilidad en cuanto a la protección de datos es especialmente elevada.
Disputa en la Audiencia Nacional
La multa de 6,5 millones de euros, una de las mayores jamás impuesta por la AEPD, se encuentra ahora en disputa en la Audiencia Nacional, donde The Phone House busca frenar la medida a través de un recurso contencioso-administrativo. La empresa solicitó la suspensión cautelar del pago de la sanción, argumentando que el desembolso de esta cuantiosa suma le impediría cumplir con otras obligaciones financieras y empresariales esenciales.
Además, la compañía solicitó la confidencialidad de ciertos documentos, entre ellos un informe de auditoría y un certificado de acuerdo del órgano de administración de la entidad. Sin embargo, la Audiencia denegó esta petición, considerando que no existía justificación suficiente para reservar esos documentos del escrutinio público y del abogado del Estado, y subrayando que la documentación en cuestión no contenía información especialmente sensible.
The Phone House afirma confiar en la revocación
La compañía ha señalado en sus estados financieros que no ha realizado ninguna provisión para la sanción en sus cuentas porque sus asesores legales confían en que existen bases suficientes para que el fallo sea revocado en instancias judiciales superiores. Según su interpretación, la sanción podría considerarse excesiva y ser eventualmente anulada o reducida, como ha ocurrido en casos recientes con otras empresas.
Gran parte de la argumentación de The Phone House ante la AEPD giró en torno a la 'responsabilidad objetiva': la compañía sostiene que la ley no exige una "obligación de resultado" (es decir, que no garantiza una protección infalible contra ataques externos), sino una "obligación de medios" (que implica tomar medidas razonables para mitigar riesgos).
The Phone House asegura que cumplió con esta obligación, y cita precedentes legales donde los tribunales rechazan la responsabilidad directa de empresas víctimas de ciberataques, salvo que haya negligencia demostrable. Por otra parte, alega que el ransomware utilizado contra sus sistemas era nuevo en ese momento y, por ello, difícil de contrarrestar.
Imagen | Wikimedia + IA
Ver 5 comentarios