Ciencia en tus manos

Violación de datos: Slimpay multado con 180.000 € por el Cnil

No hay comentarios Share:

El operador de servicios de pago recurrente Slimpay fue condenado por la CNIL a una multa de 180.000 euros por incumplir la normativa general de protección de datos personales. Están relacionados con los tratamientos realizados por un subcontratista, la seguridad y la violación de los datos personales.

La Comisión Nacional de Informática y Libertades continúa su búsqueda de empresas que no cumplan con sus deberes en términos de protección de datos personales. Slimpay, un operador de servicios de pago recurrente creado en 2010 y considerado por muchos observadores como un buque insignia de la tecnología financiera francesa, lo ha aprendido de la manera más difícil. Tras una filtración de datos descubierta por esta empresa en febrero de 2020 que afectó a 12 millones de clientes, la comisión realizó un control periódico del último año y encontró varias filtraciones. Dado que las personas afectadas por la violación de datos se encuentran en varios países de la Unión Europea (Alemania, España, Italia y los Países Bajos), la CNIL ha llevado a cabo sus investigaciones en cooperación con las autoridades supervisoras de esta última. Al finalizar este proceso, la CNIL dictó el 28 de diciembre de 2021 una multa de 180.000 euros contra Slimpay. La compañía tiene muchos clientes, incluidos Deezer, EDF, AXA, Nespresso, Fitness Park, UGC, Feu Vert, Solocal …

Esta sanción fue motivada por varios motivos relacionados con la falta de protección de la información personal de los usuarios y también porque Slimpay no informó a la CNIL de su violación de datos. En detalle, se señalaron tres fallas. El primero se refería a la obligación de regular mediante acto jurídico formal el tratamiento realizado por un subcontratista: “Algunos de los contratos celebrados por la empresa Slimpay con sus prestadores de servicios no contienen todas las cláusulas que permitan asegurar que estos subcontratistas contratistas: los contratistas se comprometen a procesar datos personales de acuerdo con el GDPR (el artículo 28-3 del GDPR enumera varias obligaciones que deben aparecer en los contratos). Algunos de los contratos ni siquiera contienen ninguna de estas menciones ”, explica el Cnil.

Fuerte aumento en las notificaciones de violación de datos

También se señaló el incumplimiento de la obligación de velar por la seguridad de los datos personales de Slimpay: «el acceso al servidor en cuestión no estaba sujeto a ninguna medida de seguridad: fue posible acceder a él desde Internet entre noviembre de 2015 y febrero de 2020». Datos del estado civil (título, apellidos, nombre), direcciones postales y de correo electrónico, números de teléfono e información bancaria (BIC / IBAN) de más de 12 millones de personas quedaron así comprometidas ”, indica la comisión.“ Si la empresa se defendió indicando que los datos Probablemente no se utilizó de manera fraudulenta, la CNIL aún retuvo una infracción al artículo 32 del RGPD, considerando que la ausencia de perjuicio probado para las personas involucradas no tiene efecto sobre la existencia del defecto de seguridad ”.

Finalmente, la institución señaló la falta de información a las personas afectadas por esta violación de datos: “El Cnil consideró que, dada la naturaleza de los datos personales (incluida en particular la información bancaria), el volumen de personas involucradas (más de 12 millones) , la posibilidad de identificar a las personas afectadas por la violación a partir de los datos accesibles y las posibles consecuencias para las personas involucradas (riesgos de phishing o robo de identidad), el riesgo asociado con la violación debe considerarse alto. Por lo tanto, la empresa debería haber informado a todos los interesados, lo que no hizo ”, dijo la CNIL.

En 2020, la CNIL recibió 2.825 notificaciones de violaciones de datos, un 24% más en comparación con 2019, y posteriormente inició 50 procedimientos de control. Para todas sus actividades, la organización ha llevó a cabo durante el pasado año 6.500 actos de investigación e inició 247 controles.

También te puede gustar