La Agencia Española de Protección de Datos (AEPD) ha impuesto una ridícula multa de 2.800 euros a la empresa organizadora del festival Mad Cool, Mad Cool Festival SL, por la brecha de seguridad en su plataforma de compra de entradas para la edición de 2023 y que permitió a cualquier usuario acceder a datos personales y a las propias entradas de los miles de asistentes al evento.
El fallo de seguridad fue denunciado por FACUA-Consumidores en Acción el pasado 12 de abril de 2023 —un día después de haberse producido la brecha— tras las alertas de varios usuarios que comunicaron que, al acceder al enlace que Mad Cool les había enviado para que pudieran descargar las entradas y pedir el envío de las pulseras de acceso, descubrieron que el formulario ofrecía datos de otros asistentes, en lugar de los suyos.
El error no sólo permitía visualizar los datos de terceras personas, sino que incluso podían ser modificados, de forma que un asistente podría descargar la entrada y pedir que se le enviara a ella la pulsera pagada por otro de ellos, con el consecuente perjuicio para el afectado.
Ahora, la AEPD ha confirmado la vulneración por parte de Mad Cool Festival de dos artículos del Reglamento General de Protección de Datos (RGPD). En concreto, señala que la promotora infringió el artículo 5.1, que recoge que «los datos personales serán tratados de tal manera que se garantice una seguridad adecuada […] incluida la protección contra el tratamiento no autorizado o ilícito», entre otros; y el 32, que establece que los encargados del tratamiento de datos deben aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo».
Ambas infracciones pueden ser multadas, según recoge el artículo 83.5 del RGPD, con sanciones de hasta 20 millones de euros o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
La AEPD, sin embargo, ha decidido multar la primera infracción con 2.000 euros y la segunda con 1.500. 3.500 euros en total por la vulneración de dos artículos del RGPD que, además, han quedado fijados en 2.800 euros después de que Mad Cool Festival haya decidido acogerse al pronto pago de la sanción, lo que le aplica una reducción del 20%.
En este sentido, FACUA considera vergonzoso que, pese a que la propia Agencia señala que una multa debe ser «efectiva, proporcionada y disuasoria», haya decidido imponer a la organizadora del Mad Cool la ridícula cuantía de 3.500 euros por una brecha de seguridad que afectó a los datos de los cientos de miles de asistentes al festival.
Con estas cantidades resulta imposible que las sanciones cumplan su objetivo de ser «disuasorias», advierte la asociación, teniendo en cuenta, además, el volumen de negocio de un evento como el Mad Cool.
FACUA señala que, mientras los organismos con potestad sancionadora no sean más contundentes en la imposición de multas, seguirá resultando más rentable para las empresas infractoras la comisión de la irregularidad y el posterior pago de la sanción que la implantación de medidas para evitar que vuelva a ocurrir una situación similar.
Fuente: facua.org