1 & 1 Telecom GmbH multada por infringir el RGPD UE II

El Comisionado Federal para la Protección de Datos y la Libertad de Información Alemana (BFDI) impone una impresionante multa de 9,55 millones de euros al proveedor de servicios de telecomunicaciones 1 & 1 Telecom GmbH.

Se le acusa de no haber tomado suficientes medidas técnicas y organizativas (TOM) para autenticar las llamadas telefónicas de forma segura.

¿Cuál fue exactamente la violación de la protección de datos y qué debía haberse hecho mejor?

1 & 1 Telecom GmbH ofrece atención telefónica a sus clientes.

Para que 1 & 1 Telecom GmbH pueda atenderlos, estos deben autenticarse.

Esta es la única forma en que el representante de servicio al cliente puede identificar a la persona que llama en su sistema e intentar procesar la solicitud utilizando la información disponible allí.

En el presente caso, se pidió a los clientes que proporcionaran su nombre y fecha de nacimiento para la autenticación.

Después de que esta información ha sido comunicada, los clientes pueden realizar sus consultas sobre los servicios ofrecidos en el marco de la relación contractual.

El Comisionado Federal de Protección de Datos y Libertad de Información (BFDI) descubrió que el método de autenticación utilizado era demasiado fácil de descifrar. Por lo tanto, los extranjeros podrían recibir información sobre prácticamente todos los datos almacenados en 1 & 1 Telecom GmbH con relativamente poco esfuerzo. Por lo tanto, existe una violación del artículo 32 del RGPD, por lo que el BFDI, a pesar de una completa y extremada cooperación de 1 & 1, impuso una multa de 9,55 millones de euros.

A pesar de las medidas de mejora anunciadas por 1 & 1 Telecom GmbH, la multa fue requerida, según el BDFI, ya que el método de autenticación débil representaba una amenaza para toda la base de clientes.

Si bien, debido al comportamiento cooperativo de 1 & 1, el BDFI se mantuvo en el rango más bajo de la multa. 1 & 1 Telecom GmbH ya ha anunciado que no aceptará la decisión que impone la multa y emprenderá acciones legales contra ella.

Multas por violar el artículo 32 del RGPD

De hecho, a menudo, se subestima el uso de las medidas técnicas y de organización para la seguridad de datos (TOM Technical and Organisational Data Security Measures ) adecuado en las empresas.

Sin embargo, estas TOM implementadas a medias condujeron a la pérdida de datos, incidentes de protección de datos, informes a las autoridades de supervisión y multas. ¿Qué significa exactamente el Art. 32 RGPD?

El artículo 32 del RGPD es un estándar relevante para el enfoque basado en el riesgo aplicado dentro del RGPD.

En muchos casos, el RGPD no indica ninguna medida específica. Tampoco funcionaría porque el alcance de la ley de protección de datos va muy lejos. En cambio, la siguiente redacción se encuentra en el Artículo 32 (1) RGPD:

“Teniendo en cuenta el estado de la técnica, los costos de implementación […] y la diferente probabilidad de ocurrencia y gravedad del riesgo para los derechos y libertades de las personas físicas, el controlador y el procesador tomarán los TOM apropiados para garantizar un nivel de protección apropiado al riesgo […]”.

Si analizamos estos requisitos previos resumidos para el caso descrito anteriormente, podemos determinar rápidamente que las evaluaciones de BDFI probablemente sean correctas.

  • El riesgo es el acceso a datos personales por personas no autorizadas.
  • La probabilidad de ocurrencia del riesgo es probablemente muy alta debido a la débil autenticación en el teléfono.
  • Es difícil hacer una evaluación final de la gravedad del riesgo sin la presentación de 1 & 1 de los datos almacenados con precisión, pero la transferencia ilegal a personas no autorizadas implica un riesgo que no debe subestimarse.

Art. 32 GDPR puede ser Art. 83 párr.4 lit. un RGPD puede ser castigado con una multa de hasta 10 millones de euros o el 2% de la facturación anual mundial. Si la empresa matriz United Internet tuviera una facturación anual de 5.131 millones de euros en 2018, habría sido posible una multa de hasta 102,62 millones de euros.

Entonces ¿La atención telefónica al cliente es imposible?

Las consideraciones del BDFI son comprensibles y cualquiera que piense más en este método de autenticación llegará a la conclusión de que la fecha de nacimiento y el nombre no son suficientes. Pero la pregunta es más bien, ¿qué opciones tienen las empresas para autenticar a los clientes por teléfono? Se podrían considerar las siguientes opciones:

  • Número de contrato:

La consulta del número de contrato parece ser la más lógica. Está claramente relacionado con el cliente y siempre se asigna de todos modos. También es fácilmente accesible para los clientes, ya que generalmente se comunica cada vez que se contacta a una empresa. Sin embargo, esta también es la “debilidad” del número de contrato. Está en cada correo electrónico, en cada carta y, por lo tanto, se puede encontrar rápidamente en la papelera. Sin embargo, consultar el número de contrato reduciría en gran medida el número de posibles personas no autorizadas.

  • Datos de la cuenta:

En algunos casos, se solicitan números del IBAN o del número de cuenta. Esta información siempre se almacena con la compañía para pagar el servicio y los clientes generalmente pueden memorizar su número de cuenta o al menos encontrarlo rápidamente. Solo lo mismo se aplica a todas las personas a quienes se les ha transferido dinero una vez. Así que tampoco hay seguridad absoluta aquí.

  • Dirección de correo electrónico:

Hoy en día, la dirección de correo electrónico es tan “secreta” como el nombre de una persona. Ingresar la dirección de correo electrónico es, por supuesto, otro medio de autenticación, pero es tan débil que la seguridad de la autenticación aumenta solo mínimamente. A este respecto, una consulta adicional probablemente no cambiaría el hecho de que la autenticación no cumple con los requisitos del artículo 32 del RGPD.

  • Código de soporte:

También sería concebible que, de forma similar a un PIN, reciba un código con el primer contrato de una empresa, que debe mencionarse para la autenticación en el soporte telefónico. De esta manera, cada cliente tendría su propio código secreto de soporte y otros ya no podrían pretender ser el titular del contrato. Esto ciertamente resolvería el problema de autenticación, pero ¿hasta qué punto es posible que las compañías implementen esto retrospectivamente? se verá en el futuro.

Que hacer

El hecho es que la autenticación de clientes en el teléfono es problemática. La autenticación 100% segura es casi imposible de implementar en la práctica. Sin embargo, como entiende la multa de BDFI, no es el caso que la autenticación 100% segura deba realizarse en el teléfono. Sino más bien que la combinación de nombre y fecha de nacimiento es tan débil que el riesgo asociado es intolerable para los afectados. Los sistemas de consulta adecuados deben garantizar que no todas las personas con una información básica y muy fácil de conseguir puedan acceder a los datos personales almacenados por 1 & 1 Telecom GmbH.

PROTEC- Asesores expertos en Protección de Datos 900

Ante la profusión y complejidad legislativa en el área del Cumplimiento Normativo y las graves consecuencias que su incumplimiento puede acarrear a las empresas, es necesario contar con asesores expertos, de total garantía, que ayuden a las organizaciones a cumplir con la legislación vigente.

Le ayudamos a minimizar los riesgos y vulnerabilidades de su empresa en CIBERSEGURIDAD.

DAASEL-Corporación-Jurídica

DAASEL Corporación Jurídica está formado por un equipo multidisciplinar de profesionales y empresas especializados en cada una de las materias que conforman el Compliance y el Derecho Económico Corporativo.

Necesita un Canal de Denuncias para su organización?

Canal de Denuncias Interno

Canal Ético Confidencial, especializados en Compliance y PBC y FT