Telefónica sancionada por la AEPD: detalles de la reciente resolución sobre la brecha de seguridad sufrida en la compañía

La compañía informó a la AEPD sobre un incidente de seguridad, en el cual una aplicación interna permitió el acceso no autorizado a datos personales de millones de usuarios

ELENA SAN MIGUEL GARCÍA

Delegada de Protección de Datos certificada conforme al Esquema AEPD-DPD por ANF AC

Telefónica sancionada por la AEPD: detalles de la reciente resolución sobre la brecha de seguridad sufrida en la compañía

La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución sancionadora contra Telefónica de España S.A.U., tras la detección de una brecha de seguridad que afectó a más de un millón de personas y puso en cuestión la adecuación de las medidas técnicas y organizativas implementadas por la compañía. La infracción gira en torno al incumplimiento de los artículos 5.1.f) y 32 del Reglamento General de Protección de Datos (RGPD), relativos a la integridad, confidencialidad y seguridad de los datos personales.

La resolución tiene su origen en la notificación presentada por Telefónica el 26 de septiembre de 2022. La compañía informó a la AEPD sobre un incidente de seguridad ocurrido entre el 9 y el 28 de septiembre del mismo año, en el cual una aplicación interna permitió el acceso no autorizado a datos personales de millones de usuarios. La información comprometida incluyó configuraciones de equipos de conectividad, como routers y dispositivos asociados a numeraciones de teléfono fijo, así como nombres de redes wifi y contraseñas. Estos datos, aunque considerados de naturaleza técnica, tienen un impacto directo en la privacidad y seguridad de los afectados, ya que su exposición podría facilitar ataques posteriores.

Uno de los puntos clave en la resolución de la AEPD es la identificación de deficiencias en las medidas de seguridad implementadas por Telefónica. La Agencia señaló la ausencia de mecanismos críticos como la autenticación multifactor (MFA), que podría haber mitigado significativamente el riesgo de acceso no autorizado. Además, destacó fallos en el análisis de riesgos asociado a la aplicación interna comprometida, una omisión que resulta especialmente grave en el contexto de una organización de la magnitud de Telefónica.

Aunque la compañía argumentó que contaba con certificaciones de seguridad, programas de concienciación para empleados y un enfoque de mejora continua en sus sistemas, la AEPD determinó que estas medidas no garantizaron un nivel de seguridad adecuado al riesgo. La Agencia también subrayó que la colaboración de Telefónica con las autoridades policiales no exime a la empresa de su responsabilidad directa en la protección de los datos personales de sus usuarios.

El RGPD establece en su artículo 32 la obligación de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye la protección contra el acceso no autorizado, así como contra la destrucción, pérdida o alteración de datos personales. La AEPD recalcó que la implementación de estas medidas no puede limitarse al cumplimiento formal de normativas, sino que debe traducirse en una protección efectiva frente a riesgos conocidos y emergentes.

La AEPD recuerda que la implementación de medidas de seguridad no se limita a cumplir una obligación formal, sino que debe garantizar la eficacia real de las políticas implantadas frente a riesgos conocidos y emergentes. En este sentido, la Agencia también destacó la importancia de la proactividad en la gestión de la seguridad de los datos. La identificación y mitigación de riesgos potenciales es fundamental para evitar brechas como la ocurrida en este caso. Además, la AEPD señaló que la ausencia de controles preventivos adecuados constituye una negligencia que no puede justificarse por la complejidad o sofisticación de los ataques recibidos.

A modo de conclusión, señalar que, el caso de Telefónica pone de manifiesto la importancia de adoptar un enfoque integral y proactivo en la protección de datos personales. Algunas de las medidas que recomendablemente deben llevarse a cabo son las siguientes:

1. Implementación de medidas de seguridad robustas y eficaces

2. Realizar evaluaciones periódicas y exhaustivas de los riesgos asociados a sus sistemas y aplicaciones

3. Es fundamental que la formación y concienciación del personal se complementen con medidas técnicas efectivas.

4. Actualización constante de software y hardware

5. Auditorias periódicas de supervisión de vulnerabilidades antes de que puedan ser explotadas.

6. Simulaciones de ciberataques para evaluar efectividad de las medidas implantadas

7. Revisión de proveedores y terceros para garantizar que cumplen con los estándares de seguridad adecuados

8. Control de accesos a los sistemas solo por personal autorizado

AEDP Datos Seguridad RGPD Telefónica Protección Usuarios

Telefónica sancionada por la AEPD: detalles de la reciente resolución sobre la brecha de seguridad sufrida en la compañía

La compañía informó a la AEPD sobre un incidente de seguridad, en el cual una aplicación interna permitió el acceso no autorizado a datos personales de millones de usuarios

Te recomendamos

Hacia una transposición coherente de la Directiva de Contratos de Crédito al Consumo: retos y oportunidades

Ejecución por vía ordinaria de un préstamo hipotecario, ¿cuál es su valor a efectos de subasta?

Los fondos tocan la puerta de los bufetes

Tú dame los hechos que yo te daré el derecho

Retos de futuro de la función pública en el ámbito local

Cuidadora estafa más de 30.000 euros a una octogenaria tras 87 cargos en su tarjeta

Lo que publicas en internet tiene consecuencias: responsabilidad civil en la era digital

La flexibilidad laboral invisible: la elegancia de lo razonable

La viabilidad de una medida cautelar innominada para el apartamiento del Fiscal General del Estado: una propuesta procesal