La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 3,2 millones de euros a un gran centro comercial por una triple infracción del RGPD tras haber sufrido cinco brechas de seguridad entre 2022 y 2023, que afectaron a 118.895 cuentas de clientes.
Carrefour fue víctima de ataques tipo “credential stuffing”, donde terceros no autorizados accedieron con éxito a cuentas de cliente utilizando combinaciones de email y contraseña filtradas. Esto permitió acceder a datos como:
- Nombre y apellidos.
- Dirección completa.
- DNI/NIE parcialmente visibles.
- Email, teléfono.
- Fechas de nacimiento.
- En algunos casos, modificación de datos o uso fraudulento del cheque ahorro.
Errores clave detectados por la AEPD:
- Implantación tardía del segundo factor de autenticación.
- Ausencia de mecanismos que detectaran accesos masivos desde múltiples IP.
- Comunicaciones a los afectados que omitían la existencia de una brecha y no incluían la información exigida por el RGPD en la comunicación a los titulares afectados por la brecha de seguridad.
Lecciones clave para la gestión de la seguridad sobre los datos personales:
- La seguridad debe ser proactiva, no sólo reactiva tras incidentes.
- Las credenciales filtradas son datos personales: su uso por terceros supone acceso ilegítimo.
- Las comunicaciones a afectados deben ser claras, completas y en tiempo, describiendo la brecha y sus consecuencias.
Las multas impuestas fueron por las siguientes razones:
- Violación del principio de integridad y confidencialidad (art. 5.1.f RGPD) → 2.000.000 €
- Falta de medidas técnicas y organizativas adecuadas (art. 32 RGPD) → 1.000.000 €
- Comunicación deficiente de la brecha a los afectados (art. 34 RGPD) → 200.000 €
La organización tuvo que acreditar, adicionalmente, la comunicación correcta de la brecha a los afectados.
Este caso demuestra que gestionar brechas de seguridad sin una estrategia adecuada y sin transparencia puede salir caro, no solo económicamente, sino también reputacionalmente.
Redactado por Elena, a fecha 23 de junio de 2025.