FACUA-Consumidores en Acción ha denunciado ante la Agencia Española de Protección de Datos (AEPD) a la tienda online Platanomelón y a Shopify, la empresa que gestiona su pasarela de pago, por una filtración masiva de datos de sus clientes.

Platanomelón envió un comunicado en enero de 2021 a todos los afectados para informarles de que, como consecuencia de una brecha de datos interna de su pasarela de pago, Shopify, la información personal de muchos de sus clientes había sido expuesta. En concreto, se habían filtrado nombres y apellidos, correos electrónicos, teléfonos, direcciones postales y productos comprados, datos que puede ser especialmente delicados.

"Recientemente", indicaba en su comunicado, "Shopify nos informó de que dos empleados deshonestos obtuvieron, sin autorización, registros de transacciones de clientes en junio de 2020. Shopify lo anunció en septiembre y afectó entonces a más de 200 comercios, pero en ese momento Shopify no tenía constancia de que Platanomelón también fuese uno de los comercios afectados". La propia Shopify reconoció en una publicación en su página web que había sido objeto de dicha brecha de seguridad.

En este sentido, FACUA recuerda que el artículo 32 del Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), establece que los encargados del tratamiento de datos deben aplicar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo", así como tener "la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".

Vulneración de la LOPD

De igual forma, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), establece la obligación de los responsables y encargados del tratamiento de datos de determinar "las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme" al RGPD y la propia LOPD, y que deben tener en cuenta "los mayores riesgos que podrían producirse" en supuestos como que "el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras [...] o cualquier otro perjuicio económico", entre otros.

Así, el artículo 73 de la LOPD considera infracciones graves "la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento" y "el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado".

Por todo ello, FACUA ha solicitado a la AEPD que investigue la filtración de los datos personales de los clientes de Platanomelón tras la brecha de seguridad de Shopify por la posible vulneración de las normativas de protección de datos e inicie, de ser el caso, los correspondientes expedientes sancionadores.