La asociación apela al principio de transparencia del Reglamento General de Protección de Datos, que establece que cuando se produce una brecha de seguridad, hay que comunicarla a los afectados. FACUA-Consumidores en Acción ha instado a Movistar a que informe a todos sus clientes del agujero de seguridad en su página web que dejó expuestos hasta este lunes sus datos de facturación. Sus nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de sus llamadas han estado accesibles para terceros como consecuencia de lo que la asociación considera la mayor brecha de seguridad en la historia de las telecomunicaciones en España.
En un escrito remitido este martes a responsables de la compañía tras la reunión mantenida ayer, FACUA plantea que todos los clientes cuyos datos han estado expuestos a la posibilidad de que cualquier persona accediese a ellos deben recibir una comunicación en la que se les informe de lo ocurrido, el número de meses en que ha existido el agujero de seguridad y las características del mismo. Y ello con independencia del número de usuarios que efectivamente hayan sido objeto del acceso a sus datos por parte de terceros.
Para reclamar que se produzca la comunicación a todos los clientes, FACUA se basa en el principio de transparencia recogido en los considerandos del Reglamento General de Proteción de Datos (RGPD), junto a los derechos básicos de información y de protección de los legítimos intereses económicos y sociales que contempla en su articulado el Texto Refundido de los Consumidores y Usuarios.
En este sentido, el RGPD establece que cuando se produce una brecha de seguridad, la entidad reponsable debe emitir una comunicación a los afectados. En este caso, FACUA señala que la práctica totalidad de los clientes deben considerarse afectados ya que sus datos han estado expuestos por un agujero fruto de un error básico de programación que permitía que cualquier persona sin conocimientos de informática accediese a ellos. La comunicación, según la norma europea, debe realizarse a la mayor brevedad posible, en un lenguaje claro y sencillo y siempre en estrecha cooperación con la autoridad de control, en este caso la Agencia Española de Protección de Datos (AEPD).
FACUA comunicó a Movistar el domingo la existencia del problema de seguridad y la compañía lo resolvió en sólo ocho horas. Los datos de los clientes dejaron de estar expuestos a las 4.00 horas de la madrugada del lunes, según ha informado la empresa a la asociación. Y en la madrugada del martes la web ha vuelto a implementar el acceso a la versión web de las facturas emitidas desde agosto de 2017, funcionalidad que había sido eliminada provisionalmente para que la información personal de los usuarios dejase de ser accesible.
Reunión con Movistar en la sede de FACUA
Este lunes, dirigentes de FACUA se reunieron con miembros del Comité de Dirección de Telefónica España en la sede nacional la asociación, en Sevilla. Por parte de FACUA participaron Rubén Sánchez, vicepresidente y portavoz, y Miguel Ángel Serrano, directivo y miembro de su equipo jurídico. En representación de la compañía de telecomunicaciones estuvieron Jerónimo Vílchez, director de Telefónica en el Territorio Sur, y Pedro Serrahima, director de su marca O2.
En la reunión, los representantes de FACUA informaron a los de Movistar de que habían denunciado los hechos ese mismo día ante la Agencia Española de Protección de Datos (AEPD). Asimismo, les instaron a que todos los clientes sean informados del agujero de seguridad y su alcance y les solicitaron que, una vez evaluado el problema, la compañía facilite información a la asociación sobre el número de meses en que el error de programación de la web ha provocado que los datos de facturación estuviesen expuestos y confirmación de que ha sido eliminado por completo.
Accesible para cualquier persona
La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes.
Después de tener conocimiento de un supuesto agujero de seguridad por el reporte de un usuario, FACUA realizó las comprobaciones oportunas y acudió a un notario para que verificase y levantara acta de las irregularidades. Tras la verificación, FACUA informó en la tarde del domingo a Movistar a través de Pedro Serrahima. La reciente incorporación de Serrahima al grupo Movistar permitió que se produjese una comunicación directa sobre la existencia del problema a un miembro del Comité de Dirección de la compañía y que éste lo gestionase de forma inmediata.
Serrahima, hasta septiembre de 2016 director general de otra teleco, se ha caracterizado hasta el momento por mantener una fluida relación de diálogo con los representantes de FACUA orientada a la resolución de las reclamaciones planteadas por la asociación. Movistar había provocado hace casi tres años la ruptura de los canales de interlocución con FACUA, cuando en noviembre de 2015 amenazó a la asociación con interponerle una querella si seguía realizando cualquier comunicación pública en la que mencionase a la compañía. Una amenaza que se produjo tras la demanda judicial interpuesta por la asociación por la subida de tarifas de Movistar Fusión, aún pendiente de resolver.
Cuando FACUA informó públicamente de las características del agujero de seguridad en la mañana del lunes, la compañía ya había solucionado el problema. En caso de no haber sido así, la asociación se habría limitado a dar a conocer su existencia, sin aportar detalles sobre cómo eran accesibles los datos de los clientes de Movistar.