La Agencia Española de Protección de Datos ha impuesto una sanción de cuatro millones de euros a Xfera Móviles S.A.U. (Yoigo) por la brecha de seguridad detectada en marzo de 2023, que permitió accesos no autorizados a información personal de sus clientes a través de la aplicación interna Vista4Retail. La resolución acredita que un fallo temporal en la configuración de los sistemas dejó inoperativo el doble factor de autenticación y posibilitó que actores externos, utilizando credenciales legítimas previamente comprometidas, consultaran datos como nombre y apellidos, documentos identificativos, direcciones, teléfonos, detalles de líneas contratadas e incluso el IBAN bancario de los usuarios afectados. La Agencia rechaza el argumento de la compañía de que el incidente obedeció exclusivamente a un ataque criminal inevitable y considera que la vulnerabilidad derivó de medidas de seguridad insuficientes para proteger información de especial sensibilidad.
En su análisis, la AEPD declara que concurre una doble infracción del Reglamento General de Protección de Datos: por un lado, la vulneración del principio de integridad y confidencialidad del artículo 5.1.f), y por otro, la falta de medidas técnicas y organizativas adecuadas exigidas por el artículo 32. La autoridad desestima expresamente que exista non bis in idem y recuerda que la pérdida efectiva de confidencialidad y la insuficiencia de controles de seguridad constituyen infracciones autónomas. Asimismo, rechaza suspender el procedimiento pese a la existencia de diligencias penales bajo secreto de sumario, subrayando que la investigación penal no impide el ejercicio de la potestad sancionadora administrativa.
La resolución analiza también la actuación reaccionaria de Xfera tras detectar la actividad anómala, destacando que la empresa deshabilitó la cuenta comprometida, reforzó las políticas de autenticación, eliminó el uso del IBAN como dato verificable, endureció los controles en los cambios de DNS y notificó la brecha tanto a la AEPD como a los interesados. No obstante, la Agencia insiste en que la adopción de medidas reactivas no compensa la insuficiencia de los controles preventivos que permitieron el incidente, y concluye que la entidad no garantizó un nivel de seguridad adecuado al riesgo inherente al tratamiento masivo de datos personales de clientes.
El caso se convierte en uno de los pronunciamientos más relevantes del año, al reforzar la línea sancionadora de la AEPD frente a brechas derivadas de fallos de configuración y al recordar que la existencia de certificaciones de seguridad no exime del cumplimiento efectivo de las obligaciones del RGPD.
