OCU acusa el grup Cortefiel de tardar a comunicar als seus clients un atac cibernètic

Total, Banc Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster, Repsol, Mútua Madrilenya, Air Europa... i ara el Grup Tendam, al qual pertanyen Cortefiel, Women Secret i Springfield, entre altres marques. Al llarg de 2024, diverses grans companyies han estat víctimes d'atacs cibernètics que podrien haver compromès les dades personals de milers de clients. I és que les filtracions massives d'informació solen anticipar tota mena d'estafes basades en la suplantació de la identitat d'aquestes mateixes empreses (mitjançant phishing, smishing, spoofing...) per aconseguir les dades bancàries del client i realitzar així càrrecs a la seva costa, adverteix l'Organització de Consumidors i Usuaris (OCU) en un comunicat.

OCU incideixen que "lamentablement", les empreses afectades no sempre comuniquen de manera directa i personalitzada a cada client les dades personals a què han tingut accés els hackers. El que, segons l'organització de consumidors, ha passat amb el grup Tendam que hauria tardat un mes des de la comunicació indirecta d'aquest fet a través d'un avís públic fins a la comunicació personal als clients del Grup Tendam. El que a la pràctica nega una atenció preventiva per part dels afectats a una possible estafa.

Sancions i indemnització

En el comunicat, l'OCU urgeix a l'Agència Espanyola de Protecció de Dades a fer complir la seva pròpia normativa, que obliga a comunicar les bretxes de dades sense dilació indeguda. Posposar aquesta obligació suposa facilitar qualsevol possible estafa. És més, qualsevol retard amb motiu d'una investigació haurà de ser valorat amb deteniment.

En definitiva, OCU sol·licita una estricta aplicació de l'actual normativa de protecció de dades sobre la comunicació de les filtracions als clients, que haurà de ser ràpida i directa, "amb sancions exemplars a les empreses que la incompleixin". A més, OCU considera que s'haurien de contemplar sancions addicionals a les empreses hackejades si demostressin negligència en la protecció de les dades dels seus clients. I, en tot cas, hauria de reconèixer-se una indemnització als afectats proporcional al risc derivat de l'apropiació il·legal de les seves dades personals.

No obstant això, OCU recorda que cap pagament que efectuï un usuari sota els efectes d'un engany no podrà ser considerat com autoritzat i, per tant, haurà de ser reemborsat de forma automàtica per l'entitat bancària.