El organismo regulador administrativo independiente francés, la CNIL (Comisión Nacional de Informática y Libertad), ha multado Free a Free Mobile con un total combinado de 42 millones de euros por fallos de seguridad relacionados con una importante brecha de datos de clientes. El regulador afirmó que su investigación encontró deficiencias en la forma en que las empresas protegían los datos personales, lo que contribuyó a la magnitud del incidente.
La CNIL impuso una multa de 27 millones de euros a Free Mobile y otra de 15 millones a Free . Las sanciones se refieren a una brecha revelada en 2024, cuando un atacante accedió a sistemas internos y obtuvo información personal vinculada a millones de suscriptores. La CNIL indicó que los datos expuestos incluían identificadores de clientes y otros detalles de cuenta, y en algunos casos, información bancaria como IBANs.
Las empresas habían afirmado anteriormente que la intrusión implicaba acceso no autorizado a una herramienta de gestión de suscriptores. En ese momento dijeron que las contraseñas ni los números de tarjetas bancarias no se vieron afectados. La inspección posterior de la CNIL se centró en si existían medidas de seguridad adecuadas antes del incidente y si las empresas cumplían con sus obligaciones bajo la legislación europea de protección de datos.
La CNIL señaló que la investigación identificó debilidades en los controles de acceso y la supervisión. Afirmó que los procedimientos de autenticación y seguridad no eran lo suficientemente robustos para prevenir accesos no autorizados, y que las medidas de detección no eran lo suficientemente sólidas para identificar rápidamente actividades sospechosas. El regulador afirmó que estas lagunas aumentaban el riesgo de acceso a información de los clientes y contribuían al impacto de la brecha.
El regulador también citó problemas de retención de datos, señalando que las empresas no limitaron adecuadamente cuánto tiempo se almacenaba la información personal, incluidos los datos vinculados a antiguos clientes. Según el RGPD, las organizaciones están obligadas a conservar datos personales solo durante el tiempo necesario y a aplicar las salvaguardas técnicas y organizativas adecuadas para protegerlos.
La CNIL afirmó que las multas reflejan el número de personas afectadas y la sensibilidad de parte de la información expuesta. El regulador afirmó que la decisión pretende reforzar los requisitos para que los proveedores de telecomunicaciones protejan los datos de los clientes y garantizar que se apliquen de forma coherente los controles de seguridad básicos.
Free y Free Mobile no ha anunciado si apelarán. La CNIL afirmó que la acción de cumplimiento sigue su proceso estándar para investigar infracciones y aplicar sanciones cuando no se cumplen las obligaciones de seguridad y cumplimiento.