La autoridad de control de Reino Unido (ICO) ha impuesto una multa de más de 500.000 € a una tienda de Reino Unido tras verse comprometido un ordenador de uno de sus puntos de venta por malas medidas de seguridad, como resultado de un ciber ataque que ha afectado al menos a 14 millones de personas.
Tu empresa acepta pagos con tarjetas de crédito. Vale. Aprecias la privacidad, con lo que te has cerciorado de que tu página web es https (protocolo seguro) a fin de ofrecer un canal seguro de comunicación en la red. Vale. Pero ¿es esto suficiente para proteger las categorías especiales de datos que se tratan en las compras online y offline? ¿Has establecido protocolos apropiados para impedir malware o accesos ilegítimos a los datos? ¿O acaso crees que esto no es algo de lo que deberías preocuparte porque… bueno, porque tu sitio es https? ¿Qué podría ir mal? Muchas cosas de hecho, incluida la posibilidad de recibir una gran multa, especialmente si tus clientes residen en la UE. Te animamos encarecidamente a que eches un ojo a fondo en las medidas de seguridad que aplica tu empresa, o podrás verte envuelto en una situación similar a la de esta tienda en Reino Unido, que ha recibido una multa de más de medio millón de euros por no proteger la información de manera adecuada.
El artículo de la ICO, de fecha 9 de enero de 2020, explica que una investigación de la ICO reveló que el atacante instaló malware en más de 5390 cajas registradoras y datáfonos en tiendas a lo largo de Reino Unido entre julio de 2017 y abril de 2018, de forma que recogió datos personales durante nueve meses antes de que se descubriese la brecha de seguridad. La falta de medidas de seguridad resultó por tanto en un acceso ilegítimo a los datos de más de 5,6 millones de tarjetas de crédito e información personal de 14 millones de personas, incluidos nombres completos, códigos postales y direcciones de email.
“Nuestra investigación descubrió fallos sistemáticos en la forma en que Retail Limited protegía los datos personales. Es muy preocupante que dichas carencias estuviesen relacionadas con las medidas de seguridad más básicas y comunes, lo que muestra una falta de respeto absoluta a sus clientes, cuyos datos fueron robados… Las consecuencias han sido en este caso tan serias que hemos impuesto la multa más alta posible bajo la normativa previa, pero la sanción hubiese sido mucho más elevada bajo el RGPD”, afirma el Director de Investigaciones de la ICO, Steve Eckersley.
La multa de más de 500.000 € ha sido impuesta bajo la anterior Directiva de Protección de datos porque la brecha de seguridad tuvo lugar antes de que el RGPD comenzase a aplicarse. La seguridad del tratamiento se regula actualmente en el artículo 32 del RGPD.