FACUA denuncia al Patronato de la Alhambra por dejar expuestos los datos de los visitantes
- La información de 4,5 millones de personas que acudieron al conjunto monumental y casi mil agencias de viajes ha quedado expuesta públicamente por un fallo en la web oficial de reserva de entradas
FACUA-Consumidores en Acción ha denunciado al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) por dejar al descubierto los datos personales y financieros de 4,5 millones de visitantes y casi mil agencias de viajes por un fallo en la web oficial de reserva de entradas. Según publica este miércoles El Confidencial, información como los números de DNI, números de cuentas corrientes y de teléfonos, nombres y apellidos, contraseñas, direcciones de correo electrónico, direcciones postales, etc. ha quedado expuesta públicamente durante dos años.
En su denuncia, la asociación recuerda que de acuerdo a la normativa europea vigente (Reglamento UE 2016/679, artículo 6), el tratamiento de los datos personales sólo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona, o por interés público.
Asimismo, FACUA indica que «las infracciones que supongan una vulneración sustancial» de lo que aparece recogido en el citado artículo 6 del Reglamento de la UE de están consideradas como «muy grave», de acuerdo al artículo 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Además, el artículo 32 del citado Reglamento de la UE recoge que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». De acuerdo a la información publicada este miércoles, el proveedor tecnológico del Patronato es la empresa Hiberus Tecnología, que utiliza un sistema informático de venta de entradas llamado lacpos, en una versión completamente desactualizada y sin las medidas de seguridad pertinentes.
La asociación pone de manifiesto en su escrito también que el Patronato, al conocer la irregularidad, debería haber comunicado lo ocurrido a la AEPD y a todos los usuarios que podrían verse afectados, tal y como indica el artículo 33 del Reglamento de la UE, «a más tardar 72 horas después de que haya tenido constancia de ella, a menos de que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas».