| Resolución | PS-00288-2025 |
| Firmado | 2025-09-17T00:00:00Z |
| Enlace | 📋 |
El procedimiento sancionador se inició debido a una brecha de seguridad en Servicios Financieros Carrefour, E.F.C., S.A. (SFC), que afectó a datos personales de clientes, incluyendo información básica, de contacto, número de DNI y datos financieros. La brecha se detectó el 19 de diciembre de 2023 y se debió a un ciberincidente de suplantación de identidad (phishing) y acceso no autorizado a datos en un sistema de información.
Se presentaron múltiples reclamaciones por parte de clientes afectados, quienes denunciaron haber recibido comunicaciones fraudulentas y intentos de phishing. La brecha permitió el acceso a datos sensibles, lo que generó inconvenientes importantes para los afectados.
La sanción se impuso por incumplir el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que exige garantizar la integridad y confidencialidad de los datos personales. La empresa no implementó medidas técnicas y organizativas adecuadas para proteger los datos, lo que permitió la brecha de seguridad.
La sanción inicial propuesta fue de 2.500.000 euros, pero se redujo a 1.500.000 euros debido al pago voluntario y el reconocimiento de responsabilidad por parte de SFC. Este pago implicó la terminación del procedimiento sancionador, aunque la resolución se hará pública y será firme en vía administrativa.