Sanción de 7000 euros a una compañía hotelera por infracciones de los artículos 5.1 f), 32 y 33.1. de la LOPD

La reclamante detecta que se ha podido producir una brecha de seguridad de la compañía hotelera con la que había reservado, al recibir un Whatsapp haciéndose pasar por ellos y solicitándole la introducción de su tarjeta en un enlace fraudulento, hechos que pone en conocimiento de la AEPD.

La compañía hotelera manifiesta en su contestación a la AEPD, que tras detectar varios accesos ilícitos en su cuenta de Booking, procedieron a modificar la contraseña, hasta en 7 u 8 ocasiones. A pesar de ello, reconocen a la reclamante que “sabían que se había producido la filtración y estaban investigando el origen”.

La AEPD solicita informaciones  a Booking que indica que, efectivamente, la cuenta de la reclamada había sido comprometida, hecho «bastante habitual» al caer en acciones de phishing, situación en la que ellos no tienen responsabilidad.

Además se advierte que las medidas eran insuficientes para garantizar la seguridad de la información y por lo tanto, para cumplir con el artículo 32. La AEPD aclara que algunas medidas no se apreciaban en el análisis de riesgos y que no se pudo garantizar la adopción de otras. También se refleja que en el registro de brechas solo se incluía una de las dos brechas detectadas en la investigación de este procedimiento.

Expediente N.º: EXP202303565

Más información consulte nuestra página de servicios