La Agencia Española de Protección de Datos ha sancionado con 4.200 euros a una empresa hotelera por las siguientes infracciones: infracción del art. 5.1 c), infracción del artículo 32.1, infracción del artículo 33.1 del Reglamento General de Protección de Datos., puesto que la parte reclamante tenía conocimiento de que “se remitió un correo electrónico al cliente suplantando la identidad del director de hotel, aunque la reserva se realizó a través de booking.com” y no tomó las medidas de seguridad oportunas para minimizar este riesgo, vulnerando así el principio de confidencialidad de los datos.
La parte reclamada señala que “el día 30/01/2023, solicitó a su departamento de informática que modificaran las contraseñas de los correos electrónicos. Y el 03/02/2023 se produjo el intento de fraude y suplantación del alojamiento, objeto de la reclamación presentada.” Por su parte, la reclamante contactó con el alojamiento el día 3 de febrero de 2023. Esclarece que llamó por teléfono y envió un correo electrónico alertando del incidente ocurrido. El cliente una vez que llegó al alojamiento, que se puede deducir por lo expuesto anteriormente que sería el 08/02/2023, la persona que le atendió en la recepción le comunicó que “sabían que se había producido la filtración y estaban investigando el origen”.
La parte reclamada manifiesta que el 30/01/2023 su departamento de informática modificó las contraseñas de los correos electrónicos y, tras haber cambiado la clave de acceso al correo de recepción, el incidente quedó solventado. Respecto al motivo de este cambio, manifiestan: “Accedieron al mail de la empresa y se procedió al cambió la contraseña”, sin aportar más detalle. Cabe destacar que el intento de fraude a la parte reclamante se produjo después, el 03/02/2023, y fue en esta fecha cuando se puso en contacto con el alojamiento.
Por tanto, de conformidad con lo que antecede, se estima que el reclamado sería responsable de la vulneración de los artículos 5.1 c), 32.1, 33.1 del Reglamento General de Protección de Datos.
Destaca la AEPD que “la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.”
Finalmente indica la AEPD que “ha sancionado a Pillow Hotels por no garantizar debidamente la confidencialidad e integridad de los datos de carácter personal como consecuencia de la quiebra de seguridad producida”. Ha penalizado al alojamiento por ser una entidad que se encuentra vinculada con el tratamiento de datos tanto de clientes como de terceros.
Por consiguiente, la AEPD, en la resolución PS-00133-2024 del procedimiento sancionador considera la existencia considera la existencia de las infracciones mencionadas anteriormente. Se acordó imponer una multa total de 5.600 € a la empresa que realizó un tratamiento de los datos personales de la reclamante infringiendo este precepto normativo, la cual se redujo a 4.200 € por pago voluntario.
En definitiva, quienes hagan un tratamiento de datos personales sin garantizar unas medidas de seguridad idóneas deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando con carácter previo al tratamiento los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en asesoramiento y consultoría para el cumplimiento de la normativa de protección de datos en el ámbito empresarial y de las Administraciones Públicas.