Declaración
Información sobre el acceso no autorizado a datos personales
Estimado/a señor/a,
Por la presente, le informamos, de conformidad con el Artículo 34 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, la libre circulación de dichos datos y la derogación de la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD), que nuestros análisis internos han determinado que el incidente puede afectar a sus datos personales. Le rogamos que lea detenidamente la siguiente notificación.
Descripción del incidente
El 27 de noviembre de 2024, descubrimos que se produjo un acceso no autorizado a datos personales almacenados con un socio externo (proveedor de alojamiento). La información sobre el incidente se recibió por correo electrónico. El sospechoso obtuvo acceso a nuestra base de datos de clientes, que abarca el período de febrero de 2020 a noviembre de 2021.
El 27 de noviembre de 2024, descubrimos que se produjo un acceso no autorizado a datos personales almacenados con un socio externo (proveedor de alojamiento). La información sobre el incidente se recibió por correo electrónico. El sospechoso obtuvo acceso a nuestra base de datos de clientes, que abarca el período de febrero de 2020 a noviembre de 2021. Entre febrero de 2020 y noviembre de 2021, una persona no autorizada accedió a una base de datos que contenía información sobre personas que realizaron compras en nuestra tienda en línea o adquirieron nuestros productos ofrecidos en otras plataformas de ventas (las llamadas "marketplaces"). Los datos expuestos podrían incluir: Nombre y apellidos, Dirección de entrega, Nombre de la empresa, Datos necesarios para la facturación (por ejemplo, el monto de la compra, aunque sin detalles sobre los productos adquiridos), Nombre del usuario comprador, Número de teléfono, Dirección de correo electrónico (en el caso de compras realizadas a través de plataformas "marketplace", la dirección de correo electrónico en la base de datos expuesta estaba encriptada, por lo que el acceso es imposible).
Nuestros análisis muestran que no se filtraron contraseñas, datos de pago u otras credenciales de acceso, ni historiales de transacciones.
Inmediatamente después de descubrir el incidente, la base de datos comprometida fue eliminada de los recursos del socio, y todas las contraseñas para acceder al servicio de alojamiento externo también fueron cambiadas.
¿Qué hemos hecho para proteger sus datos?
Inmediatamente después de detectar el acceso no autorizado, tomamos medidas para mitigar principalmente cualquier impacto negativo:
- La base de datos afectada fue eliminada rápidamente de los recursos del socio tras su descubrimiento.
- Notificaremos al Presidente de la Oficina de Protección de Datos Personales en Polonia y a las instituciones relevantes (por ejemplo, la policía, CERT) para garantizar total transparencia de las acciones realizadas.
- Estamos llevando a cabo una auditoría interna para aclarar todos los aspectos relacionados con el incidente. Además, hemos solicitado a nuestro proveedor de alojamiento que realice un análisis similar.
¿Cuáles podrían ser las consecuencias?
Los datos expuestos podrían ser utilizados potencialmente para crear una cuenta en línea (por ejemplo, en redes sociales o correo electrónico). Las personas que obtengan acceso a estos datos podrían utilizarlos para contactos no solicitados por correo electrónico, SMS o llamadas telefónicas (lo que se conoce como "spam"), incluidas aquellas en las que se intente obtener más datos.
Finalmente, el uso adicional de los datos podría llevar a asociar la información revelada con elementos específicos, que podrían ser posteriormente apropiados indebidamente por terceros, o asumir otras obligaciones, como realizar compras en línea o solicitar préstamos de instituciones no bancarias.
Por esta razón, le aconsejamos extrema precaución, especialmente cuando reciba comunicaciones por teléfono o correo electrónico.
¿Qué se puede hacer para minimizar o mitigar posibles efectos negativos?
Recomendamos los siguientes pasos:
- Tenga extrema precaución al recibir correos electrónicos, mensajes SMS o llamadas sospechosas, especialmente las que contienen enlaces o solicitudes de datos adicionales.
- Evite compartir información sensible, especialmente en respuesta a llamadas telefónicas o correos/mensajes SMS.
- Controle regularmente sus cuentas en línea en busca de actividades no autorizadas.
- Preste atención a las contraseñas que utiliza para acceder a recursos en línea. Estas contraseñas no deben contener palabras o partes de palabras fácilmente predecibles, especialmente aquellas basadas en su información personal (por ejemplo, nombres, números de teléfono, etc.).
- Esté alerta ante correos electrónicos sospechosos, enlaces y archivos adjuntos en correos electrónicos (los archivos adjuntos no deberían enviarse en formatos ZIP o RAR). Estos correos podrían contener software malicioso (por ejemplo, virus, troyanos) o ser utilizados para obtener más datos personales de manera fraudulenta.
Además, recomendamos usar un software antivirus con una base de datos de firmas de virus actualizada constantemente.
Si observa actividades sospechosas, le animamos a informar del incidente de inmediato a las autoridades pertinentes (policía, autoridad de protección de datos).
¿Dónde puedo obtener más información?
Si tiene preguntas sobre este incidente o necesita información adicional, hemos designado un equipo para atender sus consultas. Puede comunicarse con nuestro equipo por correo electrónico: rodo@venusti.pl
Nos disculpamos por cualquier inconveniente que este incidente pueda haberle causado. Al mismo tiempo, le aseguramos que estamos haciendo todos los esfuerzos para garantizar que los datos personales que procesamos se manejen con el mayor cuidado, y que el incidente mencionado en esta carta es un acontecimiento aislado que nos tomamos muy en serio.
Atentamente,
Venusti sp. z o.o.