logo
mobile logo
11 septiembre
0 Comentarios

Sanción por enviar usuario y contraseña por email sin medidas de seguridad

Publicado por LLA
En Protección de datos

La AEPD sancionó a una empresa por enviar credenciales de acceso (usuario y contraseña) a través de correo electrónico sin las medidas de seguridad adecuadas, vulnerando el artículo 32 del RGPD. Este caso evidencia la importancia de revisar los sistemas de registro online y evitar prácticas que pongan en riesgo la confidencialidad de los datos personales.

Una persona denunció que, al registrarse en la web de una librería online, recibió un correo automático con su dirección de email y la contraseña elegida. La AEPD verificó que el proceso de alta generaba este mensaje sin protección adicional y que la práctica se mantuvo hasta la apertura del procedimiento sancionador.

El reclamado alegó que las contraseñas estaban cifradas en sus servidores, que el email se enviaba solo al usuario y que desde junio de 2023 se había eliminado esta función. También defendió que utilizaba doble autenticación con un “código de centro” y que no trataba datos especialmente sensibles.

La AEPD comprobó que el registro incluía datos de identificación e incluso bancarios, y que el “código de centro” era conocido por todas las familias, sin control sobre su distribución.

La AEPD recordó que el artículo 32 del RGPD exige medidas técnicas y organizativas adecuadas al riesgo, y que el correo electrónico, especialmente sin cifrado TLS, es un medio vulnerable. Enviar usuario y contraseña en un mismo mensaje supone:

  • Riesgo de interceptación durante la transmisión.
  • Posible almacenamiento sin protección en la bandeja de entrada del usuario.
  • Mayor probabilidad de accesos no autorizados y suplantación de identidad.

Se rechazaron todas las alegaciones del reclamado, argumentando que:

  • La existencia de políticas de seguridad no sustituye la implementación de medidas concretas contra riesgos identificados.
  • La doble autenticación no era efectiva al carecer de control en la distribución del código.
  • El cese posterior de la práctica no elimina la infracción cometida.
  • No se requiere un daño material efectivo para sancionar; basta el riesgo potencial.

La AEPD aplicó como agravante la vinculación directa de la actividad de la empresa con el tratamiento de datos de clientes y la naturaleza sensible de las contraseñas.

La infracción se calificó como grave y se sancionó con 20.000 €, reducidos a 16.000 € por pago voluntario y renuncia a recurrir.
Además, se ordenó al reclamado:

  • El cese definitivo del envío conjunto de usuario y contraseña por email.
  • Acreditar ante la AEPD la implementación de esta medida.

El reclamado presentó certificado de su encargado de tratamiento confirmando la eliminación del email automático con credenciales desde junio de 2023.

Este caso deja lecciones claras para responsables y encargados de tratamiento:

  • Nunca enviar usuario y contraseña juntos por email.
  • Usar enlaces temporales para que el usuario establezca su contraseña.
  • Implementar cifrado TLS y medidas de seguridad extremo a extremo en la transmisión de datos.
  • Revisar periódicamente los procesos de alta y acceso a plataformas online.

Etiquetas: