Cuando un cliente accedía a la sección de “Mi Vodafone” se visualizaban de forma aleatoria los datos de otros clientes; el fallo fue comunicado a la compañia quien no dió respuesta alguna. Ahora la Agencia Española de Protección de Datos ha impuesto una multa de 100.000 euros por este fallo de seguridad que estuvo operativo durante 24 horas.

A principios de 2009 un particular denunció ante la Agencia Española de Protección de Datos (AEPD) que cuando accedía a la zona de clientes “Mi Vodafone” en la página web de Vodafone, aparecían los datos de otros clientes, distintos cada vez que intentaba entrar.

Vodafone conocía el problema, debido a un fallo puntual que ocurrió en los sistemas de su proveedor Indra, que presta, entre otros, los servicios de desarrollo, puesta en producción y mantenimiento 24 x 7 del canal “Mi Vodafone”.

El documento emitido por Indra relata los acontencimientos:

  • a) El 22/12/2008, a las 23:30 se abrió un subcaso como consecuencia de una llamada de un cliente, que no se pudo resolver en ese momento, relativa a la posibilidad de ver datos de otros clientes de la operadora.
  • b) El 23/10/2008, a las 10:03, se registró la gestión efectuada, generándose una incidencia asignada a Indra a las 11:55 horas.
  • c) A las 13:00 horas se detectó la causa técnica del problema, que permitía que cuando varios clientes realizaban concurrentemente consultas de sus datos en el portal “Mi Vodafone” se podían mezclar las consultas con las respuestas. Esta incidencia se produjo únicamente en las líneas prepago y en la opción de consulta y, en ningún caso, se vio afectado el proceso de modificación de datos.
  • d) El 23/12/2008, a las 14:31, se procedió a la reapertura del portal “Mi Vodafone”, tras la corrección del problema.

El día 23/12/2008 (10:03 horas), se registró la gestión efectuada por el segundo nivel de atención al cliente, se reprodujo el problema y se generó una incidencia de tipo NTR (abierta cuando puede afectar a más de cinco usuarios), que fue asignada a Indra, entidad que presta los servicios de mantenimiento del canal “Mi Vodafone”.
El 23/12/2008 (12:15) se procedió al cierre inmediato del canal “Mi Vodafone” con el objeto de subsanar la incidencia ocurrida el 22/12/2008 (07:00), a raíz del pase a producción de una nueva versión de una parte de la aplicación que gestiona el portal, que consistía básicamente en que no se filtraban correctamente las respuestas de información que se enviaban con las consultas efectuadas por los clientes, de forma que, cuando varios clientes realizaban consultas a través de “Mi Vodafone” concurrentemente, se podían mezclar las consultas con las respuestas.

Los datos a los que se tenía acceso incluían el nombre y apellidos del titular de contrato, su DNI o NIF, número de pasaporte, sexo, fecha de nacimiento, nacionalidad, número de teléfono móvil, número de teléfono fijo, dirección postal completa y, en ocasiones, su dirección de correo electrónico.El problema fue solucionado en 16 horas.

La AEPD determina que se ha vulnerado el artículo 10 de la LOPD que dispone:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La sanción máxima por esta infracción es de 300.000 euros pero la AEPD finalmente lo deja en 100.000 euros.

Descargar Resolución Sancionadora.

Samuel Parra

10 años de experiencia profesional en el sector de la protección de los datos de carácter personal y la privacidad.
Premio de la Agencia de Protección de Datos de la Comunidad de Madrid al mejor blog sobre protección de datos.