La AEPD ha impuesto una sanción de 3.000 euros a un establecimiento hotelero por la infracción del artículo 5.1.f) del RGPD (principio de integridad y confidencialidad), de 2.000 euros por la vulneración del artículo 32 del Reglamento (seguridad del tratamiento) y de 2.000 euros por infringir el artículo 33 del mismo cuerpo normativo (notificación de la violación de seguridad a la autoridad de control), reducida a 4.200 euros al hacer uso la compañía de las dos reducciones previstas reconociendo su responsabilidad.
En este caso se interpuso la reclamación debido a que tras realizar una reserva en el alojamiento a través de la plataforma booking, unos días antes de efectuar el viaje, la reclamante recibió un WhatsApp en el que un tercero (que se identificó como la directora del hotel) le solicitó la confirmación de la reserva a través de un enlace fraudulento en el que debía introducir el número de su tarjeta (lo que no hizo). Al contactar con el establecimiento hotelero, este le indicó que ya eran conocedores de otros supuestos similares.
Al llevar a cabo las actuaciones de investigación la AEPD ha podido conocer que han tenido lugar dos brechas de seguridad. La primera de ellas se produjo en enero de 2023 (la que afectó a la reclamante), mientras que la segunda tuvo lugar en agosto del mismo año (las causas de ambas brechas parecen ser similares según la autoridad de control).
En el primero de los casos, la entidad procedió a modificar la clave del email lo que en apariencia solucionó el primer problema. Booking ha declarado que los establecimientos hoteleros suelen ser víctimas de ataques de phishing que tienen como consecuencia un acceso indebido por parte de terceros a las cuentas privadas de los alojamientos en la plataforma de reservas (siendo todo ello ajeno a esta) “desde donde se puede consultar la información de los clientes que tienen allí reservas” consiguiendo las credenciales de estos y pudiendo contactar con ellos por otros canales (tal y como ha sucedido a través de WhatsApp). Habida cuenta de ello, se concluye por la AEPD que pudo haber un acceso no autorizado a la cuenta del establecimiento hotelero en booking (sobre todo si se tiene en cuenta que el cambio de clave solucionó el problema). Respecto a la segunda violación de seguridad, la compañía modificó en reiteradas ocasiones las claves tal y como hizo en el primer caso.
La entidad reclamada ha manifestado que si bien no efectuó comunicación alguna de la primera brecha a la AEPD o a sus clientes, sí informó de ello a aquellos afectados que se pusieron en contacto para avisar de estos incidentes. Ello es así por cuanto se determinó que no era necesario efectuar la misma. No obstante, respecto a la segunda violación se manifiesta por la compañía que sí se contactó con todos sus clientes (a pesar de ello la AEPD ha declarado que “No se puede constatar que se informase a todos los potenciales afectados ni que se realizase la comunicación en tiempo”).
Respecto al principio de confidencialidad que tiene como finalidad evitar que se produzcan filtraciones de datos que no sean autorizadas, la autoridad de control manifiesta que no se ha garantizado adecuadamente el mismo por parte del responsable del tratamiento, puesto que como consecuencia de la brecha de seguridad se ha tenido acceso por un tercero a los datos de los clientes del establecimiento hotelero.
En relación con las medidas de seguridad aplicadas (en este caso según la entidad reclamada se han elaborado políticas de protección de datos, se actualizan los sistemas, los equipos o los softwares, se efectúan auditorías periódicas, etc.) indica la AEPD que habida cuenta de las consecuencias analizadas se puede concluir que las medidas implementadas no eran pertinentes ni adecuadas a los riesgos detectados y que conllevaba el tratamiento de los datos.
En este sentido, se expone que en el análisis de riesgo efectuado por la compañía no se hace referencia alguna al registro de acceso a la aplicación de Booking ni se contempla cómo se debe gestionar la cuenta en dicha aplicación (las medidas están orientadas al correo electrónico corporativo, pero no al uso de la aplicación de Booking, puesto que se estimó que el riesgo de este tratamiento era bajo). Adicionalmente, no se aporta documentación alguna que permitiese acreditar que efectivamente se hubieran aplicado dichas medidas. La sanción se impone a pesar de que no se haya probado que se hubieran producido perjuicios a la afectada.
Por último, respecto a la notificación de las brechas, la autoridad de control declara que debían haber sido comunicadas por cuanto sí que constituían un riesgo para los derechos y libertades de las personas físicas.
Puede acceder a la resolución sancionadora de la AEPD aquí.