Una franquicia de Xiaomi en España denunciada por FACUA ante la AEPD
Este hecho se ha descubierto accediendo a la aplicación Gmail de los dispositivos en los correos electrónicos se expone información de usuarios que hayan usado el smartphone de prueba y de los trabajadores de estos dos establecimientos.
La franquicia Balmore Atlantic, propietaria de tres tiendas oficiales Xiaomi en Madrid y Barcelona, ha sido denunciada por FACUA- Consumidores en Acción ante la Agencia Española de Protección de Datos por un fallo de seguridad mediante el cual, los dispositivos móviles de sus expositores que permitían acceder a datos personales de usuarios y trabajadores.
Este hecho se ha descubierto accediendo a la aplicación Gmail de los dispositivos en los correos electrónicos se expone información de usuarios que hayan usado el smartphone de prueba y de los trabajadores de estos dos establecimientos, como sus nombres y apellidos, incluso datos de la facturación diaria de las cajas, según ha podido saber El Confidencial, medio que denunció la irregularidad.
La asociación de consumidores indica que según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en su artículo 5, apartado primero , letra f, establece que "los datos personales serán tratados" de manera que "se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ('integridad y confidencialidad')". Esto parece que ya se ha incumplido, pues entre los datos a los que se puede acceder, están no solo los relativos a la tienda, si no también datos personales tanto de trabajadores como de algunos clientes.
De igual forma FACUA recuerda que "el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ('responsabilidad proactiva')". Además el artículo 6 de dicho Reglamento, en su apartado primero, letra a, recoge "el tratamiento solo será lícito si se cumple al menos" que "el interesado dio su consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa".
La Asociación solicita a la AEPD que active las medidas necesarias para que este escape de seguridad no se tenga mayores consecuencias.
