Ir al contenido

Eprivacidad by SIC Consulting

Área de Usuario

50.000 € por no asegurar adecuadamente los datos personales: el coste de ignorar el artículo 32 del RGPD

50.000 € por no asegurar adecuadamente los datos personales: el coste de ignorar el artículo 32 del RGPD

La AEPD sanciona a una empresa por no aplicar medidas de seguridad adecuadas, permitiendo accesos indebidos a datos personales

El expediente PS-00280-2022 se convierte en otro ejemplo más —lamentablemente común— de cómo un fallo en la configuración o mantenimiento de un sistema puede terminar en una sanción cuantiosa por parte de la Agencia Española de Protección de Datos (AEPD). En este caso, una empresa fue multada con 50.000 euros por no garantizar la seguridad de los datos personales tratados a través de su plataforma digital.

La sanción se fundamenta en el artículo 32 del Reglamento General de Protección de Datos (RGPD), que establece que los responsables del tratamiento deben implementar medidas técnicas y organizativas apropiadas para proteger la información personal. El fallo en este caso fue tan evitable como evidente: la falta de controles de acceso permitía que usuarios no autorizados visualizaran datos ajenos con simples manipulaciones de URLs.

¿Qué ocurrió?

Todo comenzó con una denuncia presentada por un usuario que accedió a su área privada dentro de la web de la empresa. Durante su navegación, comprobó que era posible —sin necesidad de ninguna herramienta de hackeo— acceder a los datos de otros clientes simplemente modificando un parámetro numérico en la URL. Este fallo, conocido como IDOR (Insecure Direct Object Reference), es un viejo conocido entre los problemas de seguridad web.

El reclamante pudo visualizar los datos personales de terceros: nombres, apellidos, direcciones, correos electrónicos, e incluso información contractual. Inmediatamente lo puso en conocimiento de la empresa y posteriormente de la AEPD.

Durante el procedimiento, la empresa reconoció la existencia del fallo y aportó evidencias de que había procedido a corregirlo. Sin embargo, no pudo demostrar que hubiera realizado una evaluación previa de riesgos, ni auditorías de seguridad, ni pruebas que anticiparan el error antes de poner en producción el sistema.

¿Qué norma se vulneró?

La infracción se centró en el artículo 32 del RGPD, que obliga al responsable y al encargado del tratamiento a aplicar medidas de seguridad adecuadas. Este artículo establece que deben evaluarse los riesgos y adoptarse medidas que garanticen:

  • La confidencialidad, integridad y disponibilidad de los datos personales.
  • La capacidad de restaurar rápidamente la disponibilidad de los datos tras un incidente.
  • Un proceso de verificación y evaluación periódica de la eficacia de las medidas aplicadas.

El fallo de la empresa fue doble:

  1. No prevenir un fallo conocido y documentado (acceso cruzado entre usuarios).
  2. No realizar una auditoría o test de penetración antes de publicar el sistema afectado.

La AEPD también señaló el incumplimiento del principio de “privacidad desde el diseño y por defecto” (artículo 25 del RGPD), ya que la arquitectura del sistema carecía de elementos mínimos de protección.

¿Por qué la sanción fue de 50.000 €?

Para determinar la cuantía, la AEPD aplicó los criterios del artículo 83.2 del RGPD. Se valoraron los siguientes aspectos:

  • La naturaleza de los datos comprometidos: datos identificativos, información de contacto y condiciones contractuales.
  • El número potencial de afectados: aunque no se pudo determinar con exactitud cuántos usuarios se vieron afectados, el riesgo era alto y generalizado.
  • La falta de medidas preventivas: la empresa no había hecho una evaluación de impacto, ni auditado su sistema tras una actualización importante.
  • La gravedad del impacto: la exposición de datos personales de terceros representa una amenaza directa a la privacidad.
  • La actitud reactiva en lugar de proactiva: la empresa corrigió el error tras ser informada, pero no lo previó ni lo detectó previamente.

Aunque no se consideraron agravantes como la reincidencia o el lucro ilícito, la multa fue considerable debido al impacto y la negligencia técnica.

¿Qué se debería haber hecho para evitar esta sanción?

Este tipo de errores son evitables con medidas básicas de cumplimiento. La empresa sancionada podría haber evitado la multa si hubiera aplicado las siguientes prácticas:

  1. Implementar validaciones de acceso basadas en permisos y roles
    Ningún usuario debería poder acceder a recursos que no le pertenecen modificando una URL. Los sistemas deben validar que el solicitante está autorizado a ver cada recurso.
  2. Realizar auditorías de seguridad antes de implantar cambios
    Toda modificación en la estructura o configuración de un sistema debe acompañarse de una evaluación de vulnerabilidades. Existen herramientas automáticas y empresas especializadas para ello.
  3. Aplicar el principio de “privacidad desde el diseño”
    La seguridad debe estar integrada desde la fase de diseño del sistema, no añadirse a posteriori.
  4. Registrar y supervisar accesos
    El sistema debe llevar un registro de accesos, identificar patrones anómalos y generar alertas cuando se produzcan accesos masivos o sospechosos.
  5. Evaluar el impacto si los riesgos son altos
    Cuando se lanza una plataforma con acceso a datos personales, y existe un riesgo de que terceros accedan sin autorización, debe realizarse una Evaluación de Impacto en Protección de Datos (EIPD) según el artículo 35 del RGPD.
  6. Capacitar al equipo técnico
    Desarrolladores, administradores de sistemas y personal de IT deben tener formación en materia de privacidad, seguridad y cumplimiento normativo.
  • Artículo 32 RGPD: medidas de seguridad del tratamiento.
  • Artículo 25 RGPD: privacidad desde el diseño y por defecto.
  • Artículo 5.1.f RGPD: principio de integridad y confidencialidad.
  • Artículo 83.2 RGPD: criterios de cuantificación de las sanciones.

La AEPD concluye que la omisión de controles básicos de acceso es un incumplimiento grave, aunque no exista intención maliciosa. El RGPD exige responsabilidad proactiva, no basta con actuar tras una reclamación.

Una llamada de atención a desarrolladores y empresas tecnológicas

El desarrollo de plataformas web o apps no puede ignorar los principios del RGPD. El acceso a datos personales debe estar rigurosamente controlado, validado y documentado. Este caso muestra que los errores de programación o diseño no solo son fallos técnicos: también son infracciones legales.

🛡️ ¿Tu plataforma digital es segura según el RGPD? Haz el test y compruébalo

En e-privacidad.net te ayudamos a evaluar si tu empresa cumple con los requisitos técnicos y organizativos exigidos por el RGPD. Con nuestro test gratuito, en menos de 2 minutos sabrás si estás en riesgo y qué puedes mejorar.

Hazlo hoy. Es rápido, gratuito y clave para evitar sanciones: www.e-privacidad.net

Etiquetado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

📩 Hablemos