La Agencia Española de Protección de Datos (AEPD) ha impuesto recientemente una sanción récord de 6,5 millones de euros a The Phone House debido a una grave brecha de seguridad que expuso datos sensibles de 13 millones de personas. Este caso pone de manifiesto la importancia de gestionar adecuadamente la seguridad de la información para evitar sanciones y proteger tanto la reputación como los activos de las empresas. A continuación, desglosamos las claves de esta sanción y cómo las organizaciones pueden prevenir riesgos similares.

Una brecha de seguridad que cuesta millones

Recientemente la Agencia de Española de Protección de Datos (AEPD) ha impuesto una de las sanciones más alta desde su creación, 6.500.000 euros.
La sancionada ha sido The Phone House debido a una brecha de seguridad que ha afectado a los datos de 13 millones de clientes.
Entre los datos afectados se incluían nombres, identificaciones, correos electrónicos y números bancarios, entre otros. Los datos pertenecían a clientes, empleados y proveedores y, posteriormente, fueron publicados en la Deep Web.

¿Cuáles son las alegaciones de The Phone House ante el expediente sancionador?

La empresa alegó que el ataque fue de una sofisticación inusual y que había realizado cuantiosas inversiones en la seguridad de sus sistemas. Además, reclamó la falta de proporcionalidad en la sanción y cuestionó la aplicación de ciertos agravantes. La empresa sostiene que, a pesar de sus esfuerzos en seguridad, fue víctima de un ataque sofisticado que no se pudo prevenir. Sin embargo, la AEPD concluyó que TPHS carecía de medidas adecuadas para el nivel de riesgo en sus sistemas de información, destacando deficiencias en la política de contraseñas, la seguridad perimetral, y la capacitación del personal.

¿Qué infracciones originaron la sanción?

La AEPD entiende que dado la brecha de seguridad se puede dilucidar que se han producido infracciones del artículo 5.1 (principio de integridad y confidencialidad de los datos) y 32 (Seguridad de los datos personales) del Reglamento General de Protección de Datos (RGPD). Esta doble sanción ya viene siendo común por parte de la Agencia como se puede ver en otras resoluciones como las de ILUNION SEGURIDAD, con una sanción de 15.000 euros, la de UNIQLO de 270.000 euros o la de IBERDROLA de 3.000.000 euros.

Tándem de los artículos 5.1.f y 32 del RGPD

La resolución de la AEPD resalta la obligación de las empresas de implementar medidas de seguridad robustas y adaptadas al nivel de riesgo inherente a los datos que manejan. Aunque TPHS argumenta que el ataque fue inevitable, la AEPD señala que las medidas preventivas adoptadas no fueron suficientes, considerando la naturaleza masiva de los datos comprometidos y su publicación en la Deep Web. La decisión refuerza el enfoque de la AEPD en la responsabilidad proactiva de las empresas en la protección de datos y la aplicación rigurosa de sanciones en casos de incumplimiento.
Sin embargo, es recurrente entre los sancionados por estos motivos, alegar que en realidad se les está sancionando dos veces por lo mismo, ya que ambos artículos infringidos hablan de obligaciones similares. Este se debe a que consideran que a lo que obliga el artículo 32 es la de establecer medidas para salvaguardar los principios de integridad y confidencialidad del artículo 5.1.f), ambos del RGPD.

JURISPRUDENCIA NOVEDOSA: STS 4962/2024

La AEPD no entendía las alegaciones de los sancionados, siguiendo con este modelo de sanción. Con esto en mente, es necesario mencionar que recientemente se ha publicado la Sentencia del Tribunal Supremo 4962/2024 relativa a un recurso contra una de las resoluciones de la Agencia similares a las mencionadas, en este caso contra XFERA MÓVILES.
Esta sentencia sirve para marcas los motivos que permiten sancionar por ambos artículos:
1. El artículo 5.1.f del RGPD no habla únicamente de los principios, sino que establece una obligación concreta de garantizar la seguridad de los sistemas.
2. El artículo 32 del RGPD se refiere también a la seguridad, pero centrado esencialmente en la adopción de medidas para lograr dicho objetivo.

Finalmente, se decidió desestimar el recurso presentado por XFERA MÓVILES y mantener la sanción que la AEPD había impuesto previamente de 200.000 euros.
Por lo tanto, con esta interpretación que ha ofrecido el Tribunal Supremo es probable entender que seguirán sancionando por estos artículos cuando se produzcan brechas de seguridad y sus consecuencias sean remarcables.

¿Cómo las empresas pueden prevenir posibles sanciones?

El riesgo asociado a las posibles sanciones monetarias y reputacionales de una brecha de seguridad deben llevar a las empresas a establecer sistemas de gestión de este tipo de incidentes que sean efectivos.
Además, no sólo se debe centrar en contar con este tipo de protocolos, sino que el principio de responsabilidad proactiva obliga a mantener en regla y actualizados todo tipo de documentación correcta y aplicable para cualquier situación.
Esto no se hace exclusivamente para el cumplimiento de la normativa, sino también para una posible inspección de o sanción de la AEPD. La mejora manera de evitar ser sancionado es cumplir con las obligaciones que impone la normativa de protección de datos y, además, ser capaz de demostrar que se cumple.

¿Cómo LVS2 puede ayudarte a evitar sanciones?

En LVS2 te ofrecemos una solución integral para proteger tu organización frente a riesgos legales y técnicos en materia de protección de datos y ciberseguridad. Nuestro enfoque combina auditorías, consultoría especializada y la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) adaptados a las normativas aplicables a tu sector.

Gracias a un equipo multidisciplinar con más de 20 años de experiencia, formado por expertos en IT y abogados especializados en derecho tecnológico, diseñamos políticas y procedimientos que garantizan:

  • Cumplimiento normativo: aseguramos que tu organización se ajusta a las regulaciones vigentes, evitando sanciones y fortaleciendo la confianza de clientes y socios.
  • Gestión de riesgos: minimizamos vulnerabilidades y protegemos tus activos frente a amenazas que podrían comprometer tu competitividad y reputación.
  • Protección de la información: implementamos medidas para garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de tus datos.

LVS2 está reconocida por INCIBE y cuenta con certificaciones como CCSP, lo que respalda nuestra capacidad para ofrecerte soluciones eficaces y personalizadas. Acompañamos a empresas líderes en sectores críticos, con resultados comprobados en la mejora de su seguridad y cumplimiento normativo.

¡Déjanos ayudarte a transformar el cumplimiento en una ventaja competitiva!

¿Quiere evaluar si su empresa sufre posibles brechas de seguridad?

Nuestro equipo de expertos en LVS2 puede llevar a cabo evaluaciones exhaustivas y personalizadas que identifiquen posibles vulnerabilidades en sus sistemas y procesos. Contáctenos hoy mismo para programar una evaluación de seguridad y de el primer paso hacia una mayor protección y tranquilidad en el entorno digital!

    ᐅ Responsable del tratamiento: Ver la información


    Responsable del tratamiento: El Loco Vendiendo Sabiduría S.L. (LVS2)
    Datos de contacto: dpo@lvs2.es / 910164155
    Finalidades: Atender a las solicitudes; Entender el comportamiento del usuario; Cumplir con las obligaciones legales; Proteger y ejercer nuestros derechos; Responder ante reclamaciones; Envío de comunicaciones comerciales en su caso; Envío de noticias o boletines en su caso.
    Base legitimadora: consentimiento del interesado, cumplimiento de obligaciones legales, protección de su imagen y su negocio.
    Derechos: Acceso; Rectificación; Supresión; Limitación del tratamiento; Oposición; Portabilidad, siempre que sea posible técnicamente; A no ser objeto de una decisión basada únicamente en un tratamiento automatizado.
    Destinatarios: no se comunicarán datos a terceros ni transferencias internacionales
    Para ejercer sus contacte con dpo@lvs2.es. Puede presentar reclamación ante la Autoridad de Control competente en caso de considerar una vulneración a sus derechos. Puede consultar información adicional y detallada en nuestra “Política de Privacidad”.

    Testimonio cliente LVS2 Compliance Ciberseguridad

    Hablemos por teléfono

    Le atendemos telefónicamente
    de lunes a viernes 09:00-18:00

    +34 910 164 155

    Escribanos un e-mail

    Cuéntenos su proyecto y
    le responderemos con la mayor brevedad

    contacto@auditoria-lopd.es

    Nuestras Oficinas

    C/ Perú 8, Oficina 6
    28290 Las Rozas de Madrid

    Ver en el mapa