La AEPD sanciona a una empresa tecnológica por un ataque de ransomware

Comparte

La Agencia Española de Protección de Datos (AEPD) ha confirmado la imposición de una sanción de 100.000 euros a una empresa tecnológica española, tras concluir que la compañía vulneró el principio de integridad y confidencialidad previsto en el artículo 5.1.f) del RGPD. La multa quedó finalmente en 60.000 euros, al acogerse la empresa al reconocimiento de responsabilidad y al pago voluntario dentro de los plazos previstos en la normativa.

El origen de la investigación se remonta a un ciberataque tipo ransomware detectado el 28 de agosto de 2023, que afectó a la confidencialidad y disponibilidad de los datos tratados por la empresa sancionada. La empresa había notificado previamente a la AEPD la existencia del incidente, ampliando información semanas después. Según la investigación, los atacantes accedieron a información almacenada en servidores internos y llegaron a extraer datos, aunque no existe constancia de que la información fuera publicada después.

La brecha afectó no solo a datos tratados por la empresa sancionada como encargado para diversos clientes, sino también a información de la que la empresa era responsable del tratamiento, fundamentalmente datos de sus propios empleados. La investigación de la AEPD detectó deficiencias técnicas y organizativas que facilitaron el ataque: la información comprometida estaba almacenada en un segmento del servidor más expuesto y existían fallos combinados que habilitaron el acceso ilícito.

Un particular, afectado por la brecha, presentó denuncia tras recibir una comunicación sobre el incidente. Esto motivó actuaciones inspectoras que incluyeron requerimientos de información, análisis forenses y la comprobación de las medidas de seguridad adoptadas con anterioridad al ataque. El informe técnico externo aportado por la empresa sancionada evidenció debilidades de seguridad y enumeró 61 controles de seguridad recomendados, cuya implementación se encontraba todavía parcial o sin confirmar.

Tras valorar la gravedad del incidente, la naturaleza de los datos afectados y la negligencia en la adopción de medidas preventivas, la AEPD propuso una multa de 100.000 euros. La resolución también contempla medidas correctivas, entre ellas la obligación de que la empresa sancionada acredite en tres meses la implantación efectiva de medidas necesarias.

Leer más

Posts relacionados que podrían interesarte

27, junio 2024

El derecho de reparación de los consumidores propuesto por la UE

20, febrero 2020

Un juez abre la vía para el bloqueo inmediato de las webs piratas de fútbol por parte de los operadores de telecomunicaciones.

7, mayo 2020

Trabajadores de TVE denuncian una posible publicidad encubierta en “MasterChef” por la promoción de “La Casa de Papel”.

18, junio 2020

La AEPD recibe 86 reclamaciones por tratamiento de datos relacionados con el Covid-19.

12, octubre 2022

La ICO sanciona a Easylife por hacer perfilado de casi 150.000 personas utilizando datos de salud

24, noviembre 2021

Nueva ley andorrana de protección de datos