| Resolución | PS-00083-2018 |
| Firmado | 2018-04-13T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00083/2018, se denunció que la entidad LUCANIA GESTIÓN, S.L. había expuesto públicamente datos personales de clientes, incluyendo nombres, apellidos y números de DNI, en una página web accesible a través de un enlace proporcionado en un SMS. La denuncia fue presentada por A.A.A. y respaldada por capturas de pantalla que mostraban la información sensible de los usuarios.
Los hechos ocurrieron el 24 de octubre de 2017, cuando el denunciante recibió un SMS de JAZZTEL con un enlace a una página web donde se mostraban sus datos personales. Al acceder al código fuente de la página, se reveló que el DNI completo estaba visible y que, al modificar el identificador de la URL, se podían acceder a los datos de otros clientes.
La entidad Orange Espagne S.A.U. registró una brecha de seguridad el 24 de octubre de 2017, detectada el 31 de octubre por Lucania Gestión S.L. Un análisis forense reveló que el ataque se debió a un fallo de seguridad en la aplicación web, permitiendo el acceso no autorizado a los datos de los usuarios.
La infracción se consideró grave según el artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece la obligación de adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos personales. La sanción propuesta inicialmente fue de 40.001 euros, pero se redujo a 32.000,8 euros debido al pago voluntario realizado por Lucania Gestión S.L. antes de la resolución del procedimiento. Este pago implicó la terminación del procedimiento y la renuncia a cualquier recurso administrativo.