Dos tiendas Xiaomi en Madrid han incumplido la normativa de Protección de datos al tener en los móviles de exposición datos de los clientes.

Esto fue denunciado por la Asociación Facua ante la AEPD, que les ha sancionado por infracción del RGPD y la LOPDGDD.

Al acceder a los teléfonos que las tiendas tenía en exposición podían verse datos de facturación de la empresa y datos personales de clientes.

Incumplimiento de medidas de seguridad adecuadas

Las tiendas sancionadas habían configurado una cuenta de Gmail en los móviles de exposición. Y desde esa cuenta se enviaba la facturación de la tienda cada día. En esos emails figuraban también los datos personales de los empleados de esos establecimientos y los datos personales de clientes que había realizado compras.

La AEPD considera en su resolución que esas tiendas, pertenecientes a la empresa Balmore Atlantic, han infringido la normativa de Protección de datos al existir un fallo de seguridad originado por una incorrecta configuración de una cuenta de correo utilizada para gestiones internas de los establecimientos en un teléfono móvil.

En concreto, se trata de una infracción del artículo 32 del RGPD que exige a los responsables del tratamiento la aplicación de medidas de seguridad técnicas y organizativas adecuadas para proteger la información que manejan y evitar los riesgos asociados a su tratamiento.

Dentro de esas medidas de seguridad están el cifrado de los datos y la seudonimización y cualquier otra que garantice la confidencialidad, disponibilidad e integridad de los servicios y medios de tratamiento.

Por su parte, la empresa a la que pertenecen esas tiendas, indica haber aplicado una serie de medidas para resolver esa incidencia:

  • Eliminar la cuenta de Gmail de los dispositivos en exposición
  • Nombrar un Delegado de Protección de Datos
  • Inhabilitar el uso de Gmail
  • Formar a todos los trabajadores

La AEPD no impone multa, solo apercibimiento

La infracción cometida en este caso, según el RGPD, puede ser castigada con multas que pueden llegar hasta los 10 millones de euros o el 2% del volumen total de facturación anual de la empresa. Sin embargo, la AEPD, al ser la primera vez que esta empresa incumple la normativa, le ha apercibido. Pero no le ha impuesto ninguna multa económica.

Al realizarse la investigación de los hechos por parte de la AEPD, la entidad denunciada demostró haber aplicado las adecuadas medidas de seguridad para reforzar la seguridad de los datos e impedir que vuelva a producirse un fallo de seguridad similar en un futuro. Se aplicaron controles de acceso para que únicamente las personas autorizadas puedan acceder a la información y contraseñas específicas para cada usuario. También se actualiza el software de los ordenadores y dispositivos, se instalan antivirus y firewall, se realiza un cifrado de datos y copias de seguridad.

En esta resolución la AEPD tiene en cuenta como atenuantes que no se han producido daños y perjuicios a terceros, la inexistencia de intencionalidad por parte de las tiendas y la rápida respuesta y adopción de medidas de seguridad para solucionar la incidencia.

Eso sí, el aviso es claro: en caso de existir una nueva infracción de la ley de Protección de datos, no podrá librarse de una multa económica.

Sanción de la AEPD a dos tiendas Xiaomi en Madrid
4.4 (88%) 5 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.