Multa de la AEPD a una empresa por no encriptar las contraseñas de sus usuarios
la AEPD impuso, en su resolución PS/00068/2022, a la empresa Wunschurlaub, S.L. una multa de 3.000 euros por el almacenamiento de las contraseñas de al menos 37.715 usuarios, sin las medidas de seguridad adecuadas, desde el 1 de junio de 2020 a la actualidad.
Señala la referida resolución que la empresa almacenaba y transmitía las contraseñas en texto sin encriptar, por lo que cualquiera que recurriese al almacén de contraseñas podía conocerlas sin tener que descifrarlas.
El reclamante explica cómo al acceder y clicar el botón “olvidó su contraseña” recibió inmediatamente un correo electrónico de la empresa denunciada que no tuvo la necesidad de descifrar, y sin medidas ni códigos de verificación, poniéndose de relieve que cualquier persona podía acceder libremente a las contraseñas.
La AEPD concluye que la mercantil denunciada infringió el artículo 32 del RGPD relativo a la seguridad del tratamiento de datos.
La AEPD viene sugiriendo en cuanto a medidas técnicas de seguridad relativas a las contraseñas lo siguiente: “Se debe establecer una buena política de contraseñas para el acceso a los sistemas. Esta política puede empezar por no almacenar las contraseñas en los sistemas sin cifrar (…)”. Los responsables de seguridad de las empresas deben estar bien formados en este sentido y velar por el cumplimiento dentro de la organización de este tipo de medidas de seguridad.
Si tienes alguna duda o problema a la hora de confeccionar tus políticas relativas a la seguridad de tratamiento de datos, contacta con Queipo y Riego Abogados, en el teléfono 985 965463 ó 607659399, donde estaremos encantados de atenderte
