Free, operador francés de telecomunicaciones integrado en el grupo Iliad, ha sido sancionado con 42 millones de euros por no garantizar una protección adecuada de los datos personales de sus clientes tras un ataque cibernético de gran alcance.
La multa ha sido impuesta por la Commission nationale de l’informatique et des libertés (CNIL) y se deriva de una brecha que afectó a millones de abonados en 2024.
El caso se ha convertido en una de las mayores sanciones recientes en el sector francés de telecomunicaciones.
Reparto de la sanción entre las filiales
La CNIL ha dividido la sanción en dos bloques diferenciados. Free Mobile, responsable de los contratos de telefonía móvil, deberá abonar 27 millones de euros, mientras que Free, encargada de la telefonía fija, afronta una multa adicional de 15 millones.
El organismo considera que ambas entidades incurrieron en incumplimientos graves de sus obligaciones como responsables del tratamiento de datos.
La cuantía refleja la dimensión del incidente y el número de usuarios afectados.
Acceso masivo a información sensible
En octubre de 2024, un atacante logró acceder sin autorización a las bases de datos de Free, obteniendo información personal de 24 millones de usuarios, incluidos números de cuentas bancarias.
Tras conocerse la brecha, se registraron más de 2.500 denuncias contra la compañía por parte de clientes afectados.
La CNIL considera probado que el incidente tuvo un impacto significativo sobre la privacidad de los abonados.
Deficiencias en las medidas de seguridad
La investigación concluyó que Free incumplió varias disposiciones del Reglamento General de Protección de Datos (RGPD) al no aplicar medidas básicas de seguridad.
Entre las deficiencias detectadas, la CNIL señala una autenticación insuficientemente robusta y sistemas ineficaces para detectar comportamientos anómalos.
El organismo subraya que, aunque no es posible eliminar todo riesgo, sí es obligatorio reducir de forma efectiva la probabilidad de intrusión.
Advertencia al sector de telecomunicaciones
La sanción contra Free refuerza el mensaje de que la protección de los datos personales es una obligación crítica para las empresas del sector.
La CNIL recuerda que el volumen de información gestionada por las operadoras exige estándares elevados y actualizados de ciberseguridad.
El caso sitúa de nuevo la seguridad de los datos en el centro del debate regulatorio en Europa.
