FACUA-Consumidores en Acción ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra El Corte Inglés por la filtración masiva de datos personales de clientes de esta compañía que se produjo a principios del mes de febrero.

La propia empresa, explican desde FACUA, informó a través de un comunicado haber sufrido una brecha de seguridad en su sistema, lo que permitió que los datos personales de miles de usuarios quedaran expuestos sin su autorización. La información a la que los hackers tuvieron acceso de forma no autorizada consiste en datos identificativos y de contacto, así como números de tarjetas para compras sólo en El Corte Inglés.

La asociación de consumidores señala la gravedad de los hechos teniendo en cuenta que estos datos especialmente protegidos podrían utilizarse para realizar campañas personalizadas de fraudes bancarios. Al haber obtenido el ciberdelincuente información personal de la víctima, puede enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa.

Qué dice la ley

En su denuncia, FACUA señala que este fallo habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Así, el artículo 32 de la citada normativa establece meridianamente que el encargado del tratamiento de datos personales debe garantizar «la seudonimización y el cifrado de datos personales», «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» y «la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico», entre otros.

De igual modo, el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala como infracción grave «la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1» del RGPD, así como «el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado».

Además, el artículo 83.4 del RGPD plantea sanciones de hasta diez millones de euros o «de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía», para infracciones como las mencionadas anteriormente.

Por todo ello, FACUA ha pedido a la Agencia Española de Protección de Datos que abra una investigación para determinar si El Corte Inglés llevó a cabo todas las actuaciones que recoge la normativa europea y española vigente. Asimismo le insta a que, en caso de detectar que se produjo algún tipo de incumplimiento, abra un expediente sancionador contra la empresa.