La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una organización con 16.000 euros de multa, por enviar contraseñas en texto plano por correo electrónico a sus clientes.
La sanción se sustenta en la vulnerabilidad detectada por la AEPD en el envío de credenciales a nuevas personas usuarias.
En particular, al completar el proceso de registro en la página web de la empresa, las personas usuarias recibían un correo electrónico en el que se les facilitaban sus credenciales de acceso, incluyendo tanto el nombre de usuario como la contraseña, en texto plano.
La resolución de la AEPD considera que esta práctica es contraria al RGPD, en la medida en que representa un riesgo significativo para la seguridad de la información, ya que los correos electrónicos, y con ellos, las credenciales, podrían haber sido interceptados durante su transmisión.
La organización argumentó que las contraseñas se almacenaban de forma cifrada en sus sistemas internos, pero para la AEPD, el hecho de enviarlas sin protección en un correo electrónico anulaba esta medida de seguridad, exponiendo a los usuarios a posibles ataques, como el acceso no autorizado a sus cuentas en caso de que su correo fuera comprometido.
Como resultado de lo anterior, la AEPD impone una multa de 16.000 euros a la organización.
