El espectáculo tiene previsto celebrarse entre los próximos 6 y 8 de julio. Los hechos fueron denunciados por varios usuarios que, al acceder al enlace que Mad Cool les había enviado para que pudieran descargar las entradas y pedir el envío de las pulseras de acceso, descubrieron que el formulario ofrecía datos de otros asistentes, en lugar de los suyos.

"El error no sólo permitía visualizar los datos de terceras personas, sino que incluso podían ser modificados, de forma que un asistente podría descargar la entrada y pedir que se le enviara a ella la pulsera pagada por otro de ellos, con el consecuente perjuicio para el afectado", explicó Facua.

Según la organización de consumidores, el agujero de seguridad "ha estado activo durante varias horas, hasta que Ticketmaster y Mad Cool han cerrado el acceso a la página web durante las 24 horas posteriores, con el error ya solucionado".

En su denuncia, la organización de consumidores señala que este fallo en la web de Mad Cool habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

INCUMPLIMIENTOS

Según Facua, el artículo 32 de la citada normativa establece que el encargado del tratamiento de datos personales debe garantizar "la seudonimización y el cifrado de datos personales", "la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento" y "la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico", entre otros.

De igual modo, el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala como infracción grave "la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1" del RGPD, así como "el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado".

Además, el artículo 83.4 del RGPD plantea sanciones de hasta diez millones de euros o "de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía", para infracciones como las mencionadas anteriormente.

PROMOTORA

Por su parte, la promotora del festival, informó de que "la empresa externa Casfid Servicios Tecnológicos SL, encargada de la programación, gestión y funcionamiento de esta plataforma, asume el fallo interno que ha provocado esta parcial exposición de datos, causada por un problema técnico en un microcacheo que realiza el servidor donde está alojado el formulario tras una migración de DNS".

La empresa subrayó que "todos los compradores tendrán su entrada y pulsera válida para acceder sin ningún tipo de problema y nadie recibirá en su domicilio pulseras que no correspondan" y que "no hay ni habrá duplicidad de entradas". También destacó que está "contactando personalmente con los posibles afectados revisando caso por caso".

Por último, desde Facua se aconseja a todos los posibles afectados por la brecha de seguridad que se dirijan a la AEPD para denunciar su caso.