Multa de 6.500.000 euros a The Phone House Spain por incumplir el RGPD

La AEPD sanciona a la compañía por vulnerar principios fundamentales de seguridad y confidencialidad en el tratamiento de datos personales

La Agencia Española de Protección de Datos (AEPD) impuso en 2023 una sanción histórica de 6.500.000 euros a THE PHONE HOUSE SPAIN, S.L., tras detectar múltiples infracciones del Reglamento General de Protección de Datos (RGPD), específicamente por la vulneración de los artículos 5.1.f) y 32. La resolución del expediente PS-00084-2023 detalla los motivos, la responsabilidad de la empresa y los fundamentos legales que justifican la cuantía de la multa, una de las más elevadas impuestas por la autoridad española en los últimos años.

¿Qué hizo mal Phone House?

La sanción se centra en dos infracciones principales:

1. Artículo 5.1.f) del RGPD: vulneración del principio de integridad y confidencialidad, que exige garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
2. Artículo 32 del RGPD: incumplimiento del deber de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

La AEPD constató que THE PHONE HOUSE SPAIN no adoptó las medidas necesarias para evitar el acceso no autorizado a datos personales, permitiendo la exposición de información sensible de miles de usuarios. Entre los fallos detectados, se incluyó la falta de control de accesos, la ausencia de cifrado en determinados canales, y una política de contraseñas claramente insuficiente.

Contexto agravante: reiteración e impacto masivo

La cuantía de la sanción fue especialmente elevada por varios motivos:

• La naturaleza continuada de la infracción: la AEPD acreditó que la situación de inseguridad se prolongó durante un periodo relevante de tiempo.
• El número de afectados: decenas de miles de personas pudieron ver comprometida su privacidad.
• La sensibilidad de los datos tratados: se incluían datos personales vinculados a contrataciones telefónicas, identificaciones y localizaciones.
• La actitud de la empresa: no se tomaron medidas inmediatas tras detectarse la brecha de seguridad.

Todo ello llevó a la AEPD a considerar que había una negligencia grave en el cumplimiento de los principios del RGPD.

¿Qué debería haber hecho Phone House?

Para evitar esta sanción, la empresa debería haber implementado una estrategia robusta de seguridad y cumplimiento, basada en los siguientes pilares:

1. Evaluación de riesgos (art. 32.1): el RGPD obliga a realizar un análisis de riesgos antes de tratar datos personales, valorando el impacto potencial y aplicando las medidas adecuadas. La falta de esta evaluación fue clave en la sanción.
2. Medidas técnicas y organizativas:
   • Cifrado de datos en tránsito y en reposo.
   • Sistemas de autenticación reforzada.
   • Control de accesos basado en roles.
   • Políticas de contraseñas seguras.
   • Registro de accesos y auditorías periódicas.
3. Formación y concienciación: muchos incidentes de seguridad derivan de errores humanos. La empresa debería haber invertido en programas de formación para su personal sobre buenas prácticas en protección de datos.
4. Gestión de brechas de seguridad (art. 33 y 34 RGPD): en caso de violación de seguridad, se deben notificar a la AEPD y a los afectados en un plazo máximo de 72 horas. La falta de notificación en tiempo y forma agrava cualquier incumplimiento.
5. Política de cumplimiento proactiva: mantener una documentación actualizada, nombrar un delegado de protección de datos (DPO) y someterse a auditorías internas periódicas son señales de diligencia que pueden mitigar posibles sanciones.

¿Por qué es importante esta resolución?

La resolución PS-00084-2023 actúa como una advertencia clara a las grandes corporaciones que manejan volúmenes masivos de datos. El RGPD no solo exige cumplir con los principios generales, sino que requiere una actitud proactiva, preventiva y transparente ante los riesgos inherentes al tratamiento de datos personales.

Esta sanción evidencia que:

• No basta con cumplir formalmente, sino que deben existir pruebas documentales y técnicas del cumplimiento.
• El desconocimiento o la falta de diligencia no eximen de responsabilidad.
• Las autoridades están cada vez más dispuestas a aplicar sanciones ejemplares para promover el cumplimiento efectivo del RGPD.

Conclusiones para responsables y encargados del tratamiento

Toda organización que trate datos personales debe tener presente que:

• La seguridad de los datos no es un aspecto técnico secundario, sino un pilar central del cumplimiento normativo.
• El RGPD impone obligaciones que, en caso de incumplimiento, pueden conllevar consecuencias económicas muy graves.
• Invertir en protección de datos es una inversión en confianza, reputación y sostenibilidad empresarial.

Este caso demuestra cómo una falta de previsión y seguridad puede traducirse no solo en una brecha de datos, sino en una pérdida millonaria y en una mancha reputacional que tardará en borrarse.

Referencias legales:

• Reglamento (UE) 2016/679 (RGPD), artículos 5.1.f), 32, 33, 34.
• Resolución AEPD PS-00084-2023 (disponible en https://www.aepd.es/documento/reposicion-ps-00084-2023.pdf)
• Guía de seguridad de los datos personales (AEPD, 2021)

¿Quieres saber si tu empresa está cumpliendo correctamente con la normativa de protección de datos? En e-privacidad.net te ofrecemos un test inicial gratuito que te permitirá conocer tu nivel de cumplimiento en menos de 2 minutos. Rápido, sencillo y sin compromiso. ¡Hazlo ahora y evita sanciones como esta!