| Resolución | PS-00315-2024 |
| Firmado | 2026-01-23T00:00:00Z |
| Enlace | 📋 |
El caso en cuestión gira en torno a una página web que fue temporalmente retirada del servicio debido a una vulnerabilidad de seguridad que permitió el acceso no autorizado a datos personales de los usuarios. La vulnerabilidad fue explotada por terceros, lo que resultó en la exposición de información sensible, incluyendo nombres, direcciones de correo electrónico y, en algunos casos, números de teléfono.
La denuncia se centra en la falta de medidas de seguridad adecuadas por parte de la entidad responsable de la página web. Los afectados reclaman que la entidad no cumplió con sus obligaciones legales de proteger los datos personales, lo que llevó a la violación de su privacidad y a un posible riesgo de fraude o suplantación de identidad.
La sanción impuesta se justifica por varias razones. En primer lugar, la entidad no implementó las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado para los datos personales. Esto es una violación directa de las normativas de protección de datos, que exigen que las entidades tomen todas las precauciones razonables para proteger la información personal de los usuarios.
Además, la entidad no notificó a los afectados de manera oportuna sobre la brecha de seguridad, lo que impidió que los usuarios pudieran tomar medidas para protegerse. La falta de transparencia y comunicación en situaciones de emergencia es otro punto crítico que contribuyó a la sanción.
Finalmente, la entidad no llevó a cabo una evaluación de impacto adecuada antes de poner en marcha la página web, lo que habría permitido identificar y mitigar los riesgos de seguridad antes de que ocurriera la brecha. La falta de diligencia en la evaluación de riesgos y la implementación de medidas de seguridad adecuadas son factores determinantes en la decisión de imponer la sanción.