Esta semana hemos conocido la noticia de que una gran empresa como es Decathlon ha dejado expuestos un gran número de datos personales de clientes y trabajadores. Parece ser que una compañía de Software que se encarga de revisar posibles agujeros de seguridad por toda la red, encontraron el acceso a un servidor sin ningún tipo de contraseña segura, un servidor alojado en España más concretamente, desde donde pudieron obtener un total de 9Gb de información, o dicho de otra forma, se han expuesto un total de 123 millones de registros.
Los datos personales a los que han podido tener acceso gracias a esta brecha de seguridad, son datos como usuarios y contraseñas de trabajadores, número de seguridad social, correos corporativos, teléfonos, dirección completa, detalles sobre su educación, correos personales de clientes, etc. un tipo de datos que aunque no son considerados sensibles por la normativa de protección de datos, en malas manos podrían llevar a una suplantación de identidad ya que a través de técnicas utilizadas por hackers como es el phising, se podrían hacer pasar por la empresa Decathlon mediante un correo electrónico para posteriormente obtener información bancaria como contraseñas y número de cuentas/tarjetas.
Por lo que sabemos, Decathlon España únicamente se ha limitado a comunicar, una vez conocida la noticia, que «no se ha accedido a datos críticos, que son datos propios del sistema y que no contienen ningún tipo de información personal» desmintiendo así las afirmaciones de la empresa de software que ha encontrado y analizado esta brecha de seguridad.
El Reglamento General de Protección de Datos (RGPD) indica muy claramente que una empresa que ha sido víctima de una brecha de seguridad debe avisar a las autoridades competentes en protección de datos a más tardar 72 horas posteriores al conocimiento de dicha brecha. Pero no solo eso, en el caso de que la brecha de seguridad pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, las personas afectadas deberían tener conocimiento de lo acontecido a través del responsable del tratamiento, en este caso Decathlon España. Por el momento se desconoce si Decathlon ha informado a la autoridad competente y a los afectados, pero si no es así y habiéndose hecho pública esta noticia, es posible que la Agencia Española de Protección de datos abra una investigación para esclarecer lo ocurrido y pedir responsabilidades a la compañía francesa.
Dicho esto, podemos ver lo importante que es que las empresas que manejan datos personales se preocupen por cumplir el RGPD y de disponer de personal cualificado con amplios conocimientos en el nuevo reglamento de protección de datos para que pueda adaptar constantemente las condiciones para el manejo de dicha información.
Erika Urbano (SNL Consulting)
