Leroy Merlin deja con el culo al aire datos de miles de clientes y la AEPD archiva la causa

Archivado
En febrero de 2020, me piden en el curro que compre unas estanterías para el archivo de documentación. Tras revisar varios sitios web, encuentro que los más interesantes son en Leroy Merlín.

Acto seguido, voy a registrarme con los datos del representante legal de la empresa, pongo un email y el DNI. Me llega un correo de confirmación y entro como usuario registrado en la web de Leroy Merlín.

Por curiosidad, entro en los datos personales y me encuentro EL PREMIO, aparecen el nombre y apellidos, dirección y teléfono móvil. OJO, me acabo de registrar con un DNI y con un email. El resto de datos no los he puesto yo.

Ante tal tesitura, llamo a un compañero de trabajo y con su autorización, vuelvo a registarme con otro email y su DNI. Llega el correo de confirmación y de nuevo PREMIO, aparecen todos sus datos personales.

Visto lo anterior, cuando llego a casa, realizo una grabación del proceso de alta y de como con un DNI cualquiera (obtenido en el BOE, Boletín provincial, etcétera), puedo obtener datos de carácter personal como dirección, teléfono, nombre o apellidos.

Realizo escrito a la Agencia Española de Protección de Datos (AEPD), adjuntando la grabación e indicando que desconozco el nº de clientes afectados y desde cuando, sospechando que los datos pueden provenir de la tarjeta de fidelización (una vez mecanizada e introducida en la base de datos, al crearse el usuario y coincidir los DNI, trasvasa el resto de datos a la web). Lo envío a la AEPD.

En Junio de 2020, todos los usuarios de Leroy Merlín reciben una actualización del sistema de protección de sus datos de la web, puesto que a mi también me llega.

En Julio de 2020, la AEPD me informa de que hay indicios de comisión infractora de la Ley de Protección de Datos, procediendo a una investigación.

En febrero de 2021 aparece la resolución de la AEPD, donde indica que ARCHIVA la causa y no sanciona a Leroy Merlín, a pesar de haber dejado los datos personales de miles de personas a disposición de un par de clicks y conociendo únicamente el DNI durante un periodo de tiempo sin determinar.

https://www.aepd.es/es/documento/e-06746-2020.pdf
el problema es como se pudo enfocar la denuncia, pues no solo se pueden ver los datos, sino como consiguen ellos los datos que no pones al registrarte [sati]
@anabela111023 : Indiqué que era posible que fuese por el alta de la tarjetita esa que te daban al entrar, donde te pedían tus datos personales. Pero desconozco si obtenían los datos por otros medios.
Claro, porque si es por otros medios la cosa ya sería muchísimo más grave
Al solicitar la tarjeta de fidelización donde se meten esos datos personales hay algún texto del tipo: "Autorizo a Leroy Merlín el uso de estos datos para......"? supongo que en algún lado se habrá dado el consentimiento, sino clama al cielo, y es raro que lo archivaran.
@Biersi Pero aun así. Si se tu DNI, me daba de alta con él con un email inventado y automáticamente obtenía en pantalla tu dirección, nombre completo y hasta el móvil de contacto. Una cagada garrafal.
KoushiroKey está baneado por "Troll"
Lo mismo de siempre, las empresas bailando y los trabajadores llorando.
akiestoy escribió:@Biersi Pero aun así. Si se tu DNI, me daba de alta con él con un email inventado y automáticamente obtenía en pantalla tu dirección, nombre completo y hasta el móvil de contacto. Una cagada garrafal.


Entonces el problema es mío por decirte mi DNI, no de Leroy Merlín por decirte mi teléfono o dirección (no hace tanto en las páginas amarillas) al darle un dato que privado.
Chomi escribió:
akiestoy escribió:@Biersi Pero aun así. Si se tu DNI, me daba de alta con él con un email inventado y automáticamente obtenía en pantalla tu dirección, nombre completo y hasta el móvil de contacto. Una cagada garrafal.


Entonces el problema es mío por decirte mi DNI, no de Leroy Merlín por decirte mi teléfono o dirección (no hace tanto en las páginas amarillas) al darle un dato que privado.


A no ser que alguien programe un bot para ir probando todas las combinaciones posibles de DNI con emails deshechables, que el algoritmo es conocido y público http://www.interior.gob.es/web/servicio ... el-nif-nie y acaben saliendo tus datos.
(mensaje borrado)
9 respuestas
Archivado
Volver a Miscelánea