Categories: Artículos

100.000 euros de sanción a Vodafone por un fallo de seguridad en su página web

Cuando un cliente accedía a la sección de “Mi Vodafone” se visualizaban de forma aleatoria los datos de otros clientes; el fallo fue comunicado a la compañia quien no dió respuesta alguna. Ahora la Agencia Española de Protección de Datos ha impuesto una multa de 100.000 euros por este fallo de seguridad que estuvo operativo durante 24 horas.

A principios de 2009 un particular denunció ante la Agencia Española de Protección de Datos (AEPD) que cuando accedía a la zona de clientes “Mi Vodafone” en la página web de Vodafone, aparecían los datos de otros clientes, distintos cada vez que intentaba entrar.

Vodafone conocía el problema, debido a un fallo puntual que ocurrió en los sistemas de su proveedor Indra, que presta, entre otros, los servicios de desarrollo, puesta en producción y mantenimiento 24 x 7 del canal “Mi Vodafone”.

El documento emitido por Indra relata los acontencimientos:

  • a) El 22/12/2008, a las 23:30 se abrió un subcaso como consecuencia de una llamada de un cliente, que no se pudo resolver en ese momento, relativa a la posibilidad de ver datos de otros clientes de la operadora.
  • b) El 23/10/2008, a las 10:03, se registró la gestión efectuada, generándose una incidencia asignada a Indra a las 11:55 horas.
  • c) A las 13:00 horas se detectó la causa técnica del problema, que permitía que cuando varios clientes realizaban concurrentemente consultas de sus datos en el portal “Mi Vodafone” se podían mezclar las consultas con las respuestas. Esta incidencia se produjo únicamente en las líneas prepago y en la opción de consulta y, en ningún caso, se vio afectado el proceso de modificación de datos.
  • d) El 23/12/2008, a las 14:31, se procedió a la reapertura del portal “Mi Vodafone”, tras la corrección del problema.

El día 23/12/2008 (10:03 horas), se registró la gestión efectuada por el segundo nivel de atención al cliente, se reprodujo el problema y se generó una incidencia de tipo NTR (abierta cuando puede afectar a más de cinco usuarios), que fue asignada a Indra, entidad que presta los servicios de mantenimiento del canal “Mi Vodafone”.
El 23/12/2008 (12:15) se procedió al cierre inmediato del canal “Mi Vodafone” con el objeto de subsanar la incidencia ocurrida el 22/12/2008 (07:00), a raíz del pase a producción de una nueva versión de una parte de la aplicación que gestiona el portal, que consistía básicamente en que no se filtraban correctamente las respuestas de información que se enviaban con las consultas efectuadas por los clientes, de forma que, cuando varios clientes realizaban consultas a través de “Mi Vodafone” concurrentemente, se podían mezclar las consultas con las respuestas.

Los datos a los que se tenía acceso incluían el nombre y apellidos del titular de contrato, su DNI o NIF, número de pasaporte, sexo, fecha de nacimiento, nacionalidad, número de teléfono móvil, número de teléfono fijo, dirección postal completa y, en ocasiones, su dirección de correo electrónico.El problema fue solucionado en 16 horas.

La AEPD determina que se ha vulnerado el artículo 10 de la LOPD que dispone:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La sanción máxima por esta infracción es de 300.000 euros pero la AEPD finalmente lo deja en 100.000 euros.

Descargar Resolución Sancionadora.

Samuel Parra

10 años de experiencia profesional en el sector de la protección de los datos de carácter personal y la privacidad. Premio de la Agencia de Protección de Datos de la Comunidad de Madrid al mejor blog sobre protección de datos.

Share
Published by
Samuel Parra

Recent Posts

Cómo eliminar contenido de OnlyFans

Publicar contenido en OnlyFans no está exento de riesgos y es posible que llegado el…

3 meses ago

Cómo borrar imágenes de PimEyes

Si no sabes cómo eliminar las fotos de Pimeyes cuando buscas tu imagen, consulta este…

11 meses ago

TikTok: cómo borrar un vídeo de tiktok del perfil de otra persona

¿Alguna vez has querido borrar un vídeo de TikTok? Ya sea porque lo has subido…

1 año ago

¿Qué es el derecho al olvido oncológico?

El derecho al olvido oncológico, una medida aprobada por el Gobierno, elimina la discriminación que…

1 año ago

Cómo desactivar y eliminar tu cuenta de Twitter en dos pasos

Te explicamos paso a paso como puedes desactivar y eliminar tu cuenta de Twitter de…

1 año ago

¿Qué es el efecto Streisand y por qué hay que evitarlo al borrar información de Internet?

En 2003, el fotógrafo Kenneth Adelman publicó en Internet su proyecto fotográfico en el que documentaba…

3 años ago