La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa por enviar a un cliente, mediante un correo electrónico sin cifrar y en texto plano, sus credenciales de acceso-usuario coincidente con el DNI y contraseña modificada sin previo aviso, permitiendo acceder a su área privada con información personal y contractual sensible. La empresa alegó que se trató de un «error humano puntual» y que no se produjo acceso indebido a los datos. No obstante, la AEPD concluye que este incidente evidencia la insuficiencia de las medidas técnicas y organizativas exigidas por el artículo 32 del Reglamento General de Protección de Datos (RGPD), y que la empresa es responsable del cumplimiento de la seguridad de los datos, incluso ante errores humanos aislados. Además, aunque no se haya producido acceso no autorizado, la exposición de credenciales constituye un riesgo que puede ser suficiente para considerar un incumplimiento cuando afecta a elementos críticos de seguridad.
Editar el contenido
