Por lo que respecta a la OCU, en un comunicado también advirtió de que las filtraciones masivas de información “suelen anticipar todo tipo de estafas basadas en la suplantación de la identidad de estas mismas empresas” para conseguir los datos bancarios del cliente y realizar así cargos a su costa.

“Lamentablemente, las empresas afectadas no siempre comunican de manera directa y personalizada a cada cliente los datos personales a los que han tenido acceso los hackers”, lamentó, al tiempo que subrayó que, en el último caso, “ha pasado nada menos que un mes” desde la comunicación “indirecta” de este hecho a través de un aviso público hasta la comunicación personal a los clientes del Grupo Tendam, algo que, a su juicio, “niega una atención preventiva por parte de los afectados a una posible estafa”.

En este contexto, urgió a la AEPD a “hacer cumplir su propia normativa”, que, recordó, obliga a comunicar las brechas de datos “sin dilación indebida”. “Posponer esta obligación supone facilitar cualquier posible estafa. Es más, cualquier retraso con motivo de una investigación deberá ser valorado detenidamente”, abundó.

En la misma línea, solicitó la “estricta aplicación” de la actual normativa de protección de datos sobre la comunicación de las filtraciones a los clientes, que, puntualizó, “deberá ser rápida y directa, con sanciones ejemplares a las empresas que la incumplan”.

SANCIONES ADICIONALES E INDEMNIZACIÓN

Además, consideró que deberían “contemplarse” sanciones adicionales a las empresas hackeadas “si demostraran negligencia en la protección de los datos de sus clientes” y reconocerse una indemnización a los afectados “proporcional al riesgo derivado de la apropiación ilegal de sus datos personales”.

No obstante, recordó que ningún pago que realice un usuario “bajo los efectos de un engaño” podrá ser considerado como autorizado y, por lo tanto, deberá ser reembolsado de forma automática por la entidad bancaria correspondiente.

FACUA

Por su parte, Facua-Consumidores en Acción ha remitido un escrito a la Agencia Española de Protección de Datos en el que pide que investigue los hechos y le informe del “alcance” que ha tenido este ciberataque.

En paralelo, también solicita información sobre si la mercantil ha llevado a cabo las medidas “oportunas” para “limitar” el “alcance” de los “potenciales perjuicios” que han podido ser ocasionados a los clientes de Springfield, Cortefiel y Women’secret.