El grupo hotelero Lopesan ha sido víctima de un ataque informático que ha resultado en la extracción masiva de datos personales de millones de clientes. A diferencia de otras empresas, Lopesan habría optado por minimizar el incidente, lo que ha generado preocupación entre sus clientes y personal.. En abril de 2024 Lopesan Hotels Group informó que fue objetivo de un ciberataque por parte del conocido grupo RansomHouse que previamente ya comprometió a otras entidades como el Hospital Clínic de Barcelona. El análisis preliminar indica que aproximadamente 650 GB de datos confidenciales se han visto comprometidos.
Desde que se conoció el ataque, Lopesan ha activado protocolos de seguridad para contener y mitigar los efectos del incidente. Sin embargo, personas que se relacionan con la cadena habrían expresado su descontento, ya que han sido derivados de un despacho a otro sin que el problema se hubiese, al parecer, resuelto, según manifiestan. Los datos comprometidos incluyen nombres, apellidos, fechas de nacimiento, DNI o pasaporte, correos electrónicos y números de teléfono, tarjetas e IBAN. Además, algunos clientes y trabajadores han reportado sufrir ataques de phishing y suplantación de identidad desde que se alojaron en hoteles de la cadena. Lopesan ha recomendado a sus clientes que presten atención a comunicaciones sospechosas y eviten hacer clic en enlaces de fuentes desconocidas. La compañía también ha instado a sus clientes a no responder a mensajes sospechosos ni abrir archivos procedentes de fuentes no confiables.
Las brechas de datos personales pueden tener efectos adversos considerables en las personas, susceptibles de ocasionar daños físicos, materiales o inmateriales. Es fundamental gestionarlas adecuadamente para evitar que los derechos y libertades de las personas físicas se vean comprometidos. En este caso, Lopesan ha optado por minimizar el incidente en lugar de darle la dimensión adecuada, como ocurre con las empresas del Ibex cuando son atacadas. El artículo 33 del Reglamento General de Protección de Datos (RGPD) impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas. La AEPD ofrece la herramienta ASESORA BRECHA para ayudar en la toma de decisiones.
Los responsables del tratamiento deben valorar el nivel de riesgo de una brecha de datos personales y notificarla a la autoridad de control dentro de las 72 horas desde que la organización tiene constancia de la brecha. Cuando el riesgo es alto, también deberán comunicar la brecha a las personas afectadas conforme al artículo 34 del RGPD. Las notificaciones de brechas de datos personales a la AEPD se deben realizar de forma electrónica, utilizando el formulario de notificación de brechas de datos personales de la Sede Electrónica para garantizar una correcta ejecución de las obligaciones del artículo 33.3 del RGPD. La notificación a la autoridad de control forma parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla no implica necesariamente la apertura de un procedimiento administrativo. Cumplir con esta obligación en tiempo y forma es una evidencia de la diligencia de la organización.
En aquellos casos en los que el responsable considere que no existen riesgos para los derechos y libertades de las personas físicas, el responsable tiene la obligación de documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados, sus efectos y las medidas correctivas adoptadas. Esta documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el artículo 33 del RGPD. Con el objetivo de ayudar en la obligación de notificar las brechas de datos personales a la autoridad de control, la AEPD ofrece indicaciones en la Guía para la notificación de brechas de datos personales, así como otros recursos en el apartado de innovación y tecnología.
