FACUA espera que la AEPD incoe expediente sancionador. La compañía no ha notificado la irregularidad a todos sus clientes, sino únicamente a los que fueron objeto del acceso a sus datos por parte de terceros. Movistar ha restaurado este jueves en su página web el acceso a la versión interactiva de sus facturas 10 días después de reparar la brecha de seguridad denunciada por FACUA-Consumidores en Acción y que dejó expuestos durante meses los datos de sus clientes.
Mar España señaló a El Programa de la Publicidad sobre los problemas de seguridad de Facebook -y ahora con Telefónica- «La agencia ha sido muy beligerante con Facebook Y en 8 meses hemos puesto tres sanciones a Facebook entre ellas una de 600.000 € por la política de privacidad y es la única autoridad europea que ha sancionado -por ahora- el intercambio de datos entre Facebook y Whatsapp. Es cierto que a partir del 25 de mayo ya se aplicaría el procedimiento de auditoría previsto en el Reglamento y por tanto la autoridad principal sería la irlandesa y nos estamos coordinando de manera conjunta y la agencia española está interesada pero la autoridad del procedimiento sancionador es la irlandesa.
Sobre los problemas de seguridad de Telefónica señaló hace unos dias que «el Reglamento establece sistema de notificación de cualquier brecha de seguridad que ya había antes solo que ahora es obligatorio en un plazo máximo de 72 horas y el mismo día que tuvo conocimiento la empresa lo notificó oficialmente a la agencia y ahora estamos en la fase de valoración de las notificaciones que se hacen a la Unidad de Evaluación de Estudios Tecnológicos. La Dirección General de Inspección de la agencia en esta fase está valorando todos los datos aportados por la empresa y se pide ampliación de la información en el caso de que se detecte que hay indicios de una infracción. Entonces se remite a la Dirección General de Inspección que está valorando la información que nos ha suministrado telefónica»
Los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar estuvieron expuestos como consecuencia de un error básico de programación. El lunes de la semana pasada, FACUA presentó una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos (AEPD), a la que ha solicitado la apertura de un expediente sancionador contra la multinacional española de telecomunicaciones.
No ha comunicado la irregularidad a todos los clientes
Según FACUA,Movistar sólo ha comunicado la irregularidad a menos de un centenar de clientes, que según la compañía fueron objeto del acceso a sus datos personales por parte de terceros. Una decisión que discrepa con la reclamación de FACUA de enviar la comunicación a la totalidad de usuarios de la compañía ya que fueron los datos de todos los que estuvieron expuestos, independientemente de que se produjesen o no accesos ilícitos. Es la interpretación que hace el equipo jurídico de la asociación de la obligación de transparencia que establece el Reglamento General de Protección de Datos (RGPR).
La AEPD tiene que decidir si incoa un expediente sancionador a Movistar y si la compañía tiene que extender la notificación del agujero de seguridad reportado por FACUA a la totalidad de sus clientes. FACUA comunicó la existencia del agujero a responsables de Movistar en la tarde del domingo 15 de julio. Durante la madrugada, la compañía eliminó de su web la funcionalidad de acceder a la versión interactiva de las facturas emitidas desde agosto de 2017 para evitar que los datos de sus clientes continuasen expuestos.
Accesible para cualquier persona
La información privada de los clientes de Movistar fue accesible para cualquier persona sin necesidad de que tuviese conocimientos de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes. Ahora, la URL continúa siendo igual pero yo no es posible el acceso a facturas ajenas.