Lista Robinson: FACUA denuncia ante la AEPD la filtración de los datos personales de miles de usuarios

FACUA-Consumidores en Acción ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra la Asociación Española de Economía Digital (Adigital) por la filtración masiva de datos personales de miles de usuarios inscritos en la conocida como Lista Robinson.

Esta lista es un servicio en el que se inscriben usuarios que no quieren recibir publicidad o llamadas comerciales de empresas a las que no se les ha dado el consentimiento expreso para ello.
La asociación ha tenido conocimiento de que Adigital, entidad que gestiona este servicio, podría haber sufrido una brecha de seguridad en su sistema que habría permitido que los datos personales de miles de personas hayan quedado expuestos sin autorización. Los ciberdelincuentes han podido tener acceso a los DNI/NIF, nombres y apellidos, así como las direcciones de los domicilios.

Por el momento, Adigital no ha hecho pública de manera oficial esta incidencia, por lo que las personas inscritas en la Lista Robinson ni siquiera conocen si sus datos personales han podido quedar expuestos.
La asociación señala la gravedad de los hechos teniendo en cuenta que estos datos especialmente protegidos podrían utilizarse para realizar campañas personalizadas de fraudes bancarios. Al haber obtenido el ciberdelincuente información personal de la víctima, puede enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa.

Qué dice la ley

En su denuncia, FACUA señala que este fallo habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Así, el artículo 32 de la citada normativa establece meridianamente que el encargado del tratamiento de datos personales debe garantizar «la seudonimización y el cifrado de datos personales», «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» y «la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico», entre otros.

De igual modo, el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala como infracción grave «la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1» del RGPD, así como «el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado».

Además, el artículo 83.4 del RGPD plantea sanciones de hasta diez millones de euros o «de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía», para infracciones como las mencionadas anteriormente.

Por todo ello, FACUA ha pedido a la Agencia Española de Protección de Datos que abra una investigación para determinar si realmente se ha producido dicha filtración de datos de personas inscritas en la Lista Robinson y si la Asociación Española de Economía Digital ha llevado a cabo todas las actuaciones que recoge la normativa europea y española vigente. Asimismo le insta a que, en caso de detectar que se produjo algún tipo de incumplimiento, abra un expediente sancionador contra esta entidad.