Ir al contenido

La AEPD impone una multa millonaria tras una brecha de seguridad


La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 3,2 millones de euros a un gran centro comercial por una triple infracción del RGPD tras haber sufrido cinco brechas de seguridad entre 2022 y 2023, que afectaron a 118.895 cuentas de clientes.

Carrefour fue víctima de ataques tipo “credential stuffing”, donde terceros no autorizados accedieron con éxito a cuentas de cliente utilizando combinaciones de email y contraseña filtradas. Esto permitió acceder a datos como:

  • Nombre y apellidos.
  • Dirección completa.
  • DNI/NIE parcialmente visibles.
  • Email, teléfono.
  • Fechas de nacimiento.
  • En algunos casos, modificación de datos o uso fraudulento del cheque ahorro.

Errores clave detectados por la AEPD:

  • Implantación tardía del segundo factor de autenticación.
  • Ausencia de mecanismos que detectaran accesos masivos desde múltiples IP.
  • Comunicaciones a los afectados que omitían la existencia de una brecha y no incluían la información exigida por el RGPD en la comunicación a los titulares afectados por la brecha de seguridad.

Lecciones clave para la gestión de la seguridad sobre los datos personales:

  • La seguridad debe ser proactiva, no sólo reactiva tras incidentes.
  • Las credenciales filtradas son datos personales: su uso por terceros supone acceso ilegítimo.
  • Las comunicaciones a afectados deben ser claras, completas y en tiempo, describiendo la brecha y sus consecuencias.

Las multas impuestas fueron por las siguientes razones:

  1. Violación del principio de integridad y confidencialidad (art. 5.1.f RGPD) → 2.000.000 €
  2. Falta de medidas técnicas y organizativas adecuadas (art. 32 RGPD) → 1.000.000 €
  3. Comunicación deficiente de la brecha a los afectados (art. 34 RGPD) → 200.000 €

La organización tuvo que acreditar, adicionalmente, la comunicación correcta de la brecha a los afectados.

Este caso demuestra que gestionar brechas de seguridad sin una estrategia adecuada y sin transparencia puede salir caro, no solo económicamente, sino también reputacionalmente.



Redactado por Elena, a fecha 23 de junio de 2025.

Compartir esta publicación
Etiquetas
Brechas de Seguridad Elena Protección de datos
Nuestros blogs
Archivar
Derechos laborales derivados de las garantías digitales incluidas en la LOPD