Se ha dado el caso de que dos tiendas de la empresa Xiaomi de la ciudad de Madrid han dejado desprotegidos los datos de sus clientes, incurriendo en infracción contra la Ley Orgánica de Protección de Datos y contra el nuevo Reglamento General de Protección de Datos. La organización de consumidores FACUA fue la entidad que se encargó de denunciar el hecho ante la Agencia Española de Protección de Datos, con el resultado de una lógica sanción para ambos negocios.
Los datos de los clientes fueron expuestos a vista de todo el mundo
Las infracciones se dieron físicamente en las tiendas Xiaomi Mi Store Sol y en Mi Store La Vaguada. Los móviles que se habían dispuesto de exposición para los clientes que visitaban ambas tiendas tenían preparada la configuración de una cuenta de Gmail. Desde la misma, se realizaba diariamente el envío de caja y de facturación de cada negocio durante el desempeño de las jornadas, incluyendo también algunos datos personales de los empleados y los datos de diversa naturaleza de clientes que habían adquirido algún producto en la tienda.
La AEPD ha presentado un procedimiento de sanción en PDF en el que resuelve que la compañía que lleva la explotación de ambas tiendas, Balmore Atlantic, ha incurrido en una infracción sobre la normativa de protección de datos. Dicha infracción, detalla, consiste en la existencia de una brecha en la seguridad que deviene de la configuración defectuosa de la cuenta de correo de algunos terminales de la tienda que se dedicaban para gestiones internas de cada negocio.
Esta es una situación que incumple el artículo 32 en concreto del RGPD, que detalla que todo responsable y encargado de un tratamiento de datos debe aplicar las medidas técnicas y de organización adecuadas para garantizar que el nivel de seguridad sea siempre proporcional a los riesgos. Algunas de esas medidas pueden ser el uso de seudónimos o el cifrado de los datos personales, pero también la capacidad de garantizar en todo momento la confidencialidad, la integridad, disponibilidad y resiliencia de los sistemas o servicios en los que se tratan los datos personales.
Apercibimiento sin multa económica
Toda empresa que incumple con el RGPD al nivel que lo han hecho estos dos locales pueden enfrentarse a multas de hasta 10 millones de euros o de hasta el 2 % de su facturación de un año, en su cifra más alta. Sin embargo, en el caso presente, por tratarse de una vulneración de seguridad desde Balmore Atlantic, la sanción por parte de la AEPD ha quedado en un apercibimiento de conformidad, que no incluye multa económica alguna.
La agencia ha informado de que la empresa dio respuesta al requerimiento de los servicios de inspección de la misma, y que ha acreditado la adopción de razonables medidas diligentes de naturaleza técnica y organizativa de cara a reforzar la seguridad de los datos que manejan.
Las garantías de que se evitarán brechas de seguridad como esta en el futuro han servido adicionalmente para que la AEPD considere que la empresa ha respondido adecuadamente al señalársele la infracción, sin necesidad de imponer multas.
Además, La AEPD ha comprobado que no existía intencionalidad, que no se han producido daños o perjuicios a las personas y que el comportamiento de la marca y las medidas que han puesto en marcha son suficientes para atenuar la culpabilidad en las infracciones en ambas tiendas.
Entre las medidas que las tiendas han puesto en marcha para evitar todo nuevo incumplimiento en este sentido, se han desvinculado las cuentas de Gmail de todo terminal expuesto al público, y se ha nombrado a un delegado especial en materia de protección de datos. Así mismo, han proporcionado contenido formativo a sus empleados para que sepan actuar de manera adecuada, siguiendo la normativa RGPD. Si volviera a darse el caso de nuevas infracciones, Balmore Atlantic se enfrentaría de manera inevitable a una sanción económica de una cuantía importante.
La importancia del RGPD
El Reglamento General de Protección de Datos tiene un impacto de significancia para cualquier organización o empresa que realice procesos de tratamiento de datos personales. Las sanciones pueden ser de grandes cuantías para cualquier entidad que incurra en infracciones de la normativa, pudiendo llegar a multas de hasta un 4 % de los ingresos globales de un año. La normativa detalla las medidas de seguridad para el almacenamiento, el procesamiento, los procedimientos de acceso, transferencia y divulgación de los datos de una persona. Estas medidas deben ser observadas por toda organización sea cual sea su nacionalidad, si es que procesa datos personales en el territorio de la Unión Europea.
El nuevo RGPD sirve para aumentar la protección legal de los usuarios de servicios y productos y el control sobre sus datos personales por parte de las empresas responsables, de ahí su importancia.
