| Resolución | PS-00283-2025 |
| Firmado | 2025-08-11T00:00:00Z |
| Enlace | 📋 |
El 21 de septiembre de 2022, Bizum, S.L. detectó un aumento inusual de peticiones al Directorio Bizum, que contiene datos personales de sus usuarios, como números de teléfono y «alias» (nombre e iniciales de los apellidos). Este incidente permitió la exfiltración de datos de 20.070 usuarios, que fueron publicados en internet el 24 de noviembre de 2023. La publicación incluía una muestra de los datos obtenidos, lo que evidenció una brecha de seguridad que había pasado desapercibida durante más de un año.
Bizum fue sancionada por no haber adoptado medidas de seguridad adecuadas para proteger los datos personales de sus usuarios, en cumplimiento del artículo 32 del Reglamento General de Protección de Datos (RGPD). La sanción se impuso debido a la falta de mecanismos para detectar y resolver rápidamente situaciones que comprometan la seguridad de los datos. La empresa no pudo evitar la brecha ni mitigar sus efectos, lo que resultó en la publicación de datos sensibles en internet.
La resolución destaca que Bizum no implementó medidas suficientes para garantizar la seguridad de los datos, a pesar de ser consciente del riesgo. La sanción se justifica por la gravedad del incidente, el número de afectados y la falta de diligencia en la adopción de medidas de seguridad. Además, se ordenó a Bizum adoptar medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad adecuado al riesgo del tratamiento de datos, garantizando que el acceso a la información personal se produzca solo cuando sea estrictamente necesario y evitando el acceso no autorizado.