FACUA-Consumidores en Acción se ha dirigido a la Agencia Española de Protección de Datos (AEPD) para pedirle que investigue a Cecotec por la filtración masiva de datos personales de clientes que se encontraban registrados en su antigua plataforma de e-commerce, un servicio inactivo desde 2020.
Esta compañía especializada en tecnología para el hogar ha remitido un correo electrónico a sus clientes donde informa de que este ciberataque tuvo lugar en abril de 2023. La asociación lamenta que el aviso a las posibles personas afectadas haya sido enviado dos años después de que ocurriesen los hechos.
Cecotec ha informado de que, como consecuencia de este ciberataque, se han visto comprometidos datos identificativos (nombres, apellidos y DNI) y de contacto (teléfonos y dirección postal) de algunos clientes que figuraban registrados en su antigua plataforma de e-commerce.
La empresa ha explicado en un comunicado que ha implementado una serie de medidas «para mitigar el posible impacto del ciberataque», consistentes en la desactivación de la plataforma, la revocación y eliminación de permisos, la constitución de un Comité Interno de Seguridad, la realización de simulacros de phishing y la implantación de una herramienta interna para detectar páginas fraudulentas. También asegura haber dado traslado de esta brecha de seguridad a la Agencia Española de Protección de Datos.
La organización de consumidores señala la gravedad de los hechos, teniendo en cuenta que estos datos especialmente protegidos podrían utilizarse para realizar campañas personalizadas de fraudes bancarios. Al haber obtenido los ciberdelincuentes información personal de la víctima, pueden enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa.
Qué dice la ley
En su escrito, FACUA alerta de que este fallo habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Así, el artículo 32 de la citada normativa establece meridianamente que el encargado del tratamiento de datos personales debe garantizar «la seudonimización y el cifrado de datos personales», «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» y «la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico», entre otros.
Asimismo, el artículo 34 de esta ley deja claro que este tipo de filtración de datos debe trasladarse a los afectados sin dilación, algo que obviamente no ha ocurrido en este caso: «cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida».
De igual modo, el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala como infracción grave «la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1» del RGPD, así como «el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado«.
Además, el artículo 83.4 del RGPD plantea sanciones de hasta diez millones de euros o «de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía», para infracciones como las mencionadas anteriormente.
Por todo ello, FACUA ha pedido a la Agencia Española de Protección de Datos conocer si Cecotec le trasladó en su momento la información relativa a este ciberataque, y si ha abierto una investigación para determinar si esta empresa ha llevado a cabo todas las actuaciones que recoge la normativa europea y española vigente. Asimismo, le insta a que, en caso de detectar que se produjo algún tipo de incumplimiento, abra un expediente sancionador contra la compañía.
