Protección de Datos impón unha sanción de 4 millóns de euros a Yoigo

A Axencia Española de Protección de Datos (AEPD) ditou unha resolución sancionadora contra Xfera Móbiles, S.A.U. (operadora do grupo MásMóvil coñecido comercialmente como Yoigo), á que impón un total de catro millóns de euros por dúas infraccións do Regulamento Xeral de Protección de Datos (GDPR). A decisión, que pon fin á vía administrativa, deriva dunha fenda de seguridade ocorrida en abril de 2023 e pola que múltiples clientes recibiron comunicacións advertindo dun acceso non autorizado aos seus datos persoais.
Segundo a resolución do expediente EXP202307113 a AEPD conclúe que a compañía vulnerou o artigo 5.1.f) do GDPR (principio de integridade e confidencialidade), o que lle supón unha multa de dous millóns e medio de euros, e o artigo 32 (obrigación de aplicar medidas técnicas e organizativas apropiadas), sancionado con un millón e medio de euros. A resolución recolle que varias persoas denunciaron ter recibido correos e chamadas da operadora informando de que terceiros puideron acceder a datos como nome, identificación ou conta bancaria .
A Axencia detalla que o incidente se produciu por un fallo técnico relacionado coa configuración do DNS, que permitiu aos atacantes eludir o sistema habitual de autenticación dunha aplicación interna. A investigación acreditou, ademais, que antes da fenda non existía un mecanismo de dobre validación nas modificacións de DNS, unha medida que só foi implantada posteriormente como reforzo de seguridade .
Xfera alegou no procedemento que o suceso estaba xa baixo investigación penal, polo que pediu a suspensión da vía administrativa por prexuízo penal, extremo que a AEPD rexeita explicitamente. A resolución lembra que os feitos investigados na xurisdición penal (posibles delitos de falsidade documental e estafa) non coinciden co ben xurídico protexido no ámbito administrativo, centrado na facultade de disposición dos datos persoais do afectado .
A operadora defendeu tamén que actuara con dilixencia, que non existira neglixencia e que adoptara medidas preventivas e reactivas adecuadas, incidindo na monitorización continua dos seus sistemas e na notificación tempestiva da fenda tanto á Axencia como aos afectados. A AEPD desestima estes argumentos ao considerar que existían deficiencias estruturais nas medidas de seguridade previas ao incidente e que a posterior mellora dos controis non elimina a responsabilidade pola infracción inicial .
A resolución destaca igualmente que Xfera acumula antecedentes por vulneracións similares, unha circunstancia considerada agravante, e que a súa actividade empresarial implica un tratamento constante e masivo de datos persoais, polo que o nivel de esixencia en materia de seguridade debe ser especialmente elevado .
A Axencia lembra que a sanción deberá facerse efectiva unha vez finalizado o prazo dun mes para interpoñer recurso potestativo de reposición, e que, ao superar o millón de euros, será publicada no Boletín Oficial do Estado conforme ao artigo 76.4 da LOPDGDD. Contra a resolución cabe recurso ante a Audiencia Nacional no prazo de dous meses desde a súa notificación .