El pasado 8 de diciembre, la autoridad de control en materia de protección de datos, “la Commission Nationale de l’Informatique et des Libertés” (en adelante, la “CNIL”), publicó una sanción por la cual sancionaba a la empresa de telefonía FREE, al pago de 300.000 euros.
Tras llevar a cabo una serie de investigaciones, la CNIL comprobó que el operador de telefonía había infringido los siguientes preceptos del Reglamento General de Protección de Datos (en adelante, “RGPD”):
-Infracción de los artículos 12 y 15 del RGPD, en relación a la obligación de atender los derecho de acceso recibidos; ya que la empresa no respondió en los plazos legales o dio una respuesta incompleta con respecto a la fuente de sus datos.
-Infracción de los artículos 12 y 21 del RGPD, en relación a la obligación de atender los derechos de supresión recibidos; ya que la empresa no tramitó las solicitudes en los plazos legalmente establecidos.
-Inflación del artículo 32 del RGPD, al quedar constatado que no garantizaba la seguridad de los datos de sus usuarios debido a que:
las contraseñas de los usuarios no eran lo suficientemente robustas, eran almacenadas en texto (sin aplicación de medidas), en la base de suscriptores de la empresa y eran enviadas por correo en texto claro a los usuarios en el momento de crear la cuenta;
las medidas no permitieron evitar que 4.100 “cajas freebox”, en manos de antiguos abonados fueran reasignadas a nuevos clientes, sin haber borrado los datos.
-Infracción del artículo 33 del RGPD, ya que al documentar la brecha anteriormente descrita, la documentación aportada a la CNIL no aportaba medidas específicas destinadas a subsanar la incidencia.