Multa por brecha de seguridad y falta de medidas técnicas adecuadas La Agencia Española de Protección de Datos ha impuesto una sanción a una empresa tras sufrir una brecha de seguridad que expuso información personal de miles de usuarios, incluyendo datos de contacto y, en algunos casos, información identificativa adicional. La investigación concluyó que la empresa no había implementado medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, tal y como exige el artículo 32 del RGPD. Entre las deficiencias detectadas se encontraban la ausencia de cifrado en determinados sistemas, contraseñas débiles y falta de control de accesos correctamente configurado. Además, la notificación de la brecha a la autoridad de control se realizó fuera del plazo legal establecido de 72 horas, lo que constituye otra infracción adicional. También se determinó que la empresa no había evaluado adecuadamente los riesgos asociados al tratamiento de datos antes del incidente. La AEPD recuerda que la seguridad de los datos no es un elemento opcional, sino una obligación continua que debe revisarse y actualizarse periódicamente en función de los riesgos. 💡 Conclusión: las empresas deben implementar medidas de seguridad proporcionales al riesgo y contar con protocolos claros de actuación ante incidentes de seguridad.
Multa por brecha de seguridad y falta de medidas técnicas adecuadas
Multa por brecha de seguridad y falta de medidas técnicas adecuadas
La Agencia Española de Protección de Datos ha impuesto una sanción a una empresa tras sufrir una brecha de seguridad que expuso información personal de miles de usuarios, incluyendo datos de contacto y, en algunos casos, información identificativa adicional.
La investigación concluyó que la empresa no había implementado medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, tal y como exige el artículo 32 del Reglamento General de Protección de Datos (RGPD). Entre las deficiencias detectadas se encontraban la ausencia de cifrado en determinados sistemas, contraseñas débiles y falta de control de accesos correctamente configurado.
Además, la notificación de la brecha a la autoridad de control se realizó fuera del plazo legal establecido de 72 horas, lo que constituye otra infracción adicional. También se determinó que la empresa no había evaluado adecuadamente los riesgos asociados al tratamiento de datos antes del incidente.
La AEPD recuerda que la seguridad de los datos no es un elemento opcional, sino una obligación continua que debe revisarse y actualizarse periódicamente en función de los riesgos.
💡 Conclusión: las empresas deben implementar medidas de seguridad proporcionales al riesgo y contar con protocolos claros de actuación ante incidentes de seguridad.
