| Resolución | PS-00316-2025 |
| Firmado | 2025-10-31T00:00:00Z |
| Enlace | 📋 |
La empresa Barcelonesa de Drogas y Productos Químicos S.A.U. (Barcelonesa) fue sancionada por una brecha de seguridad que permitió el robo de datos de pago de tarjetas de crédito a través de su sitio web. La brecha se produjo debido a la intrusión de un formulario Java en la página web, lo que permitió a los atacantes capturar datos de tarjetas de crédito de los clientes.
La empresa fue denunciada por no haber implementado medidas técnicas y organizativas adecuadas para garantizar la integridad y confidencialidad de los datos personales, lo cual es una obligación establecida en el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD). Además, Barcelonesa no contaba con contratos de encargo de tratamiento con los terceros que manejaban los datos de pago, lo cual es una infracción del artículo 28.3 del RGPD.
La sanción impuesta fue de 310.000 euros, pero Barcelonesa optó por el pago voluntario y el reconocimiento de responsabilidad, lo que redujo la sanción a 186.000 euros. Además, la empresa debe adoptar medidas correctivas para asegurar la protección de los datos personales en el futuro, incluyendo la actualización regular de los componentes del sitio web y la celebración de contratos de encargo de tratamiento con los terceros involucrados. La resolución también ordena a Barcelonesa notificar la adopción de estas medidas dentro de un plazo de seis meses.