| Resolución | PS-00493-2024 |
| Firmado | 2026-02-03T00:00:00Z |
| Enlace | 📋 |
El 24 de abril de 2024, un cliente de FREE TECHNOLOGIES EXCOM, S.L. (en adelante, FREE TECHNOLOGIES) presentó una reclamación debido a un correo electrónico recibido el 24 de abril de 2024. Este correo, enviado en texto plano y sin cifrar, contenía credenciales de acceso (usuario y contraseña) para el área de clientes de la empresa. El correo también mencionaba que el área de clientes incluía datos sensibles como nombre, dirección, DNI, teléfono, correo electrónico, contrato, facturas, detalle de llamadas y consumo de datos. El cliente denunció que el envío de estas credenciales en un correo sin cifrar y sin autenticación de dos factores constituía una «brecha de seguridad».
FREE TECHNOLOGIES no respondió al requerimiento de información sobre las acciones tomadas para adecuarse a la normativa de protección de datos. El 24 de julio de 2024, se admitió a trámite la reclamación y el 13 de febrero de 2025 se inició un procedimiento sancionador por la presunta infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), que establece la obligación de adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales.
La empresa alegó que el incidente fue un error humano puntual, que había reforzado los controles de notificaciones y revisado los protocolos, y que no hubo accesos no autorizados ni filtración de datos. Sin embargo, se determinó que el envío de credenciales en texto plano y sin cifrar constituía una vulneración de la seguridad de los datos personales, independientemente de que no se hubiera producido un acceso no autorizado.
Se consideró que las medidas técnicas y organizativas implementadas por FREE TECHNOLOGIES no eran adecuadas para garantizar un nivel de seguridad adecuado al riesgo inherente al tratamiento de credenciales de acceso. Por ello, se impuso una multa de 10.000 euros por la infracción del artículo 32 del RGPD. La sanción se fundamentó en la gravedad de la infracción, la negligencia en el cumplimiento de las obligaciones de protección de datos, y la naturaleza de los datos afectados, que