La Agencia Española de Protección de Datos, en su resolución PS-00613-2025, sanciona a una empresa especializada en servicios de contact center y atención al cliente, por una vulneración del principio de integridad y confidencialidad de los datos personales tras una brecha de seguridad que afectó a cientos de miles de clientes de dos compañías energéticas.
La actuación de la Agencia tiene su origen en la notificación de un incidente de seguridad y en diversas reclamaciones de afectados que fueron informados de que un ciberataque, producido entre el 5 y el 7 de mayo de 2024, había permitido el acceso no autorizado a datos personales como nombre, apellidos, número de DNI y datos de contacto.
La brecha fue detectada inicialmente por las empresas responsables del tratamiento y no por la entidad reclamada, evidenciando deficiencias en los mecanismos de monitorización y respuesta ante incidentes.
La infracción principal consiste en la vulneración del principio de integridad y confidencialidad de los datos, al no haberse implantado medidas de seguridad adecuadas para prevenir accesos no autorizados. La AEPD impuso una sanción de 500.000 euros, reducida finalmente a 300.000 euros por reconocimiento de responsabilidad y pago voluntario.
IMPORTANTE
La exposición de números de DNI en una brecha de seguridad incrementa significativamente los riesgos de fraude y suplantación.
