La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución que sanciona a BIZUM por una brecha de seguridad que afectó a más de 20.000 usuarios.
Los hechos se remontan al 21 de septiembre de 2022 cuando BIZUM detectó, por parte de un usuario legítimo de una entidad adherida, un aumento inusual de peticiones para acceder al Directorio (esto es, la base de datos en la que se agrupa la información de los usuarios registrados en el servicio de la plataforma) del cual BIZUM es responsable. La plataforma resolvió el asunto bloqueando al usuario e informando a la AEPD sobre el incidente.
No obstante, el 24 de noviembre de 2023, BIZUM tuvo conocimiento de que en internet se ofrecían a la venta datos personales de usuarios de la plataforma, obtenidos a través de aquellas peticiones. La publicación incluía una muestra de 2.634 registros, con los números de teléfono, nombres y las iniciales de los dos apellidos (o “alias”) de los usuarios.
BIZUM notificó la brecha a la AEPD y afirmó que, aun adoptando medidas adicionales, la brecha no podría haberse evitado. Además, consideró que el riesgo para los derechos y libertades de las personas no era alto y que, por ello, no era necesario notificar a los afectados.
Tras la notificación, la AEPD abrió una investigación para aclarar el alcance y el origen del incidente. Comprobó que existían indicios suficientes para sostener que BIZUM había incumplido con las obligaciones impuestas en el artículo 32 RGPD, al no haber adoptado las medidas de seguridad adecuadas para el tratamiento de datos, por lo que inicia un procedimiento sancionador contra la plataforma. BIZUM presenta sus alegaciones y, tras un análisis del caso, la AEPD concluye que:
· La verdadera brecha de seguridad se produce el 21 de septiembre de 2022. El usuario, aprovechándose de las funcionalidades de la plataforma, realizó un escaneo secuencial de números de teléfono (empezando por el +34 600 000 000 y ascendiendo), para lanzar peticiones masivas de transferencias de fondos. Las repuestas que el servicio le devolvía, le permitía conocer si el número de teléfono al que había enviado la petición disponía del servicio de BIZUM, así como el nombre y “alias” del afectado.
Una muestra de esos datos se publicó en el año posterior, y solo llega a conocimiento de BIZUM a través de un hecho externo, pero no a través de sus herramientas implementadas, lo que constituye un indicio de la ausencia de medidas de seguridad adecuadas.
· BIZUM no puede eludir su responsabilidad, imputando la infracción al atacante, sino que tenía el deber de adoptar todas las medidas destinadas a garantizar la seguridad del tratamiento. BIZUM, como responsable del tratamiento de los datos afectados, tenía la obligación de aplicar, implantar y supervisar las medidas técnicas y organizativas apropiadas al tratamiento de datos. El atacante tan sólo se benefició de la situación creada por BIZUM ante las inadecuadas medidas de seguridad adoptadas.
· Es la ausencia de medidas adecuadas la que, en primer lugar, permitió la brecha de seguridad en 2022 y, en consecuencia, la publicación en Internet de los datos personales extraídos del Directorio. BIZUM vulnera así lo dispuesto en el artículo 32 RGPD, pues no puede ampararse en haber adoptado medidas de seguridad adecuadas tras conocer el anuncio, dado que dichas actuaciones no subsanan la falta de detección y prevención cuando la brecha se había producido con anterioridad.
En vista de lo anterior, la AEPD declaró la vulneración del artículo 32 RGPD y propuso una multa de 100.000 euros, que quedó reducida a 80.000 euros tras el pronto pago efectuado por BIZUM; además, ordenó la adopción de medidas técnicas y organizativas en un plazo determinado.