Ir al contenido

La AEPD impone una multa millonaria tras una brecha de seguridad


La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 3,2 millones de euros a un gran centro comercial por una triple infracción del RGPD tras haber sufrido cinco brechas de seguridad entre 2022 y 2023, que afectaron a 118.895 cuentas de clientes.

Carrefour fue víctima de ataques tipo “credential stuffing”, donde terceros no autorizados accedieron con éxito a cuentas de cliente utilizando combinaciones de email y contraseña filtradas. Esto permitió acceder a datos como:

  • Nombre y apellidos.
  • Dirección completa.
  • DNI/NIE parcialmente visibles.
  • Email, teléfono.
  • Fechas de nacimiento.
  • En algunos casos, modificación de datos o uso fraudulento del cheque ahorro.

Errores clave detectados por la AEPD:

  • Implantación tardía del segundo factor de autenticación.
  • Ausencia de mecanismos que detectaran accesos masivos desde múltiples IP.
  • Comunicaciones a los afectados que omitían la existencia de una brecha y no incluían la información exigida por el RGPD en la comunicación a los titulares afectados por la brecha de seguridad.

Lecciones clave para la gestión de la seguridad sobre los datos personales:

  • La seguridad debe ser proactiva, no sólo reactiva tras incidentes.
  • Las credenciales filtradas son datos personales: su uso por terceros supone acceso ilegítimo.
  • Las comunicaciones a afectados deben ser claras, completas y en tiempo, describiendo la brecha y sus consecuencias.

Las multas impuestas fueron por las siguientes razones:

  1. Violación del principio de integridad y confidencialidad (art. 5.1.f RGPD) → 2.000.000 €
  2. Falta de medidas técnicas y organizativas adecuadas (art. 32 RGPD) → 1.000.000 €
  3. Comunicación deficiente de la brecha a los afectados (art. 34 RGPD) → 200.000 €

La organización tuvo que acreditar, adicionalmente, la comunicación correcta de la brecha a los afectados.

Este caso demuestra que gestionar brechas de seguridad sin una estrategia adecuada y sin transparencia puede salir caro, no solo económicamente, sino también reputacionalmente.



Redactado por Elena, a fecha 23 de junio de 2025.

Compartir esta publicación
Archivar
Derechos laborales derivados de las garantías digitales incluidas en la LOPD