La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 10.000 euros a Free Technologies Excom, S.L. (Excom), operador de servicios de internet y telefonía móvil, por infracción del artículo 32 del RGPD (seguridad del tratamiento), tipificada en el artículo 83.4.a) del mismo Reglamento y calificada como grave a efectos de prescripción conforme al artículo 73.f) de la LOPDGDD (EXP202406965).
Hechos
Un cliente de Excom reclamó ante la AEPD en abril de 2024 tras recibir un correo electrónico en texto plano en el que la compañía le comunicaba la actualización de su área de clientes, incluyendo en el propio mensaje las credenciales de acceso completas (usuario y contraseña), habiendo sido modificada la contraseña sin previo aviso. El reclamante señaló que el portal de clientes —que alberga datos como nombre, dirección, DNI, teléfono, correo electrónico, datos bancarios, facturas y detalle de llamadas y consumo— carecía de autenticación de doble factor.
Tras el traslado de la reclamación, Excom no respondió en plazo. El procedimiento sancionador fue iniciado en febrero de 2025. En sus alegaciones, la entidad calificó el incidente como un error humano puntual ya corregido, sostuvo que no se habían producido accesos no autorizados ni exfiltración de datos, invocó la naturaleza de obligación de medios del artículo 32 del RGPD y solicitó la aplicación del principio de proporcionalidad.
Fundamentos de la resolución
La AEPD desestima las alegaciones de Excom y estructura su argumentación en torno a varios ejes:
Sobre la naturaleza de la obligación del artículo 32 del RGPD. La Agencia reconoce que se trata de una obligación de medios, pero precisa que esta no se satisface con la mera existencia formal de políticas o medidas genéricas, sino que exige la implantación de medidas técnicas y organizativas efectivamente adecuadas al riesgo concreto del tratamiento. En este caso, el riesgo era perfectamente previsible: la gestión y comunicación de credenciales de acceso.
Sobre el «error humano puntual». La AEPD señala que este argumento no exime de responsabilidad, sino que, al contrario, revela una insuficiencia de las medidas organizativas. El artículo 32 del RGPD exige precisamente que las medidas adoptadas eviten errores humanos como el producido. La entidad no acreditó la existencia de instrucciones o protocolos para sus empleados que impidiesen errores básicos en el envío de credenciales.
Sobre la ausencia de acceso no autorizado. La resolución subraya que el artículo 32 del RGPD no condiciona la existencia de infracción a la producción de un daño efectivo. La exposición de credenciales a través de un canal inseguro constituye por sí misma un fallo en las garantías de seguridad, con independencia de que un tercero las haya utilizado o no.
Sobre la inseguridad del correo electrónico como canal. La AEPD invoca el Informe de buenas prácticas del Centro Criptológico Nacional (CCN-CERT BP02, mayo de 2021), que describe las vulnerabilidades inherentes al protocolo SMTP —diseñado en 1982 sin medidas de seguridad como cifrado o autenticación— y señala que las tecnologías complementarias (STARTTLS, SPF, DKIM, DMARC) no garantizan por sí solas la confidencialidad extremo a extremo del contenido.
Sobre las medidas posteriores. La Agencia recuerda que la adecuación de las medidas de seguridad debe valorarse en el momento del incidente, no a partir de las correcciones introducidas después. Las actuaciones posteriores no eliminan el incumplimiento ya producido, aunque sí son valoradas como circunstancia atenuante.
Graduación de la sanción
La AEPD pondera los criterios del artículo 83.2 del RGPD. Como circunstancias relevantes señala que la infracción afectó a un único interesado, que concurrió negligencia grave en una entidad cuya actividad conlleva tratamiento masivo de datos personales de clientes, y que las credenciales de acceso constituyen un dato que debe estar especialmente protegido por el riesgo de exposición de los datos personales subyacentes.
Como circunstancia agravante, la resolución destaca la vinculación de la actividad empresarial de Excom con el tratamiento masivo de datos personales (artículo 76.2.b LOPDGDD). Como circunstancia atenuante, valora la rapidez con que la entidad respondió al cliente, reconoció los hechos y adoptó medidas correctoras, modificando el proceso de cambio de contraseñas del área de clientes (artículo 83.2.c RGPD). La Agencia precisa, no obstante, que la presentación de alegaciones y documentación no constituye cooperación activa en los términos del artículo 83.2.f) del RGPD, sino el ejercicio legítimo del derecho de defensa.
Parte dispositiva
La resolución impone a Free Technologies Excom, S.L. una multa de 10.000 euros. Pone fin a la vía administrativa y es susceptible de recurso potestativo de reposición o de recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.