Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 60 000 euro mot Aire Networks del Medeterráneo S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Aire Networks drabbades av ett dataintrång. Till följd av detta kunde den registrerade inte få tillgång till tjänster på sin telefon, eftersom det inte gick att ringa eller ansluta till internet. Den registrerade upptäckte senare tre obehöriga banköverföringar från sitt konto under den tid som dataintrånget pågick. Dataintrånget ägde rum på det extranät som delas av Aire Networks och de mobiltelefonbutiker som distribuerade Aire Networks produkter. Användarnamn och lösenord för flera av personuppgiftsbiträdets anställda fanns tillgängliga på extranätet, vilket också gjorde det möjligt för enskilda personer att få tillgång till de registrerades personuppgifter och göra kopior av eSIM-kort.
AEPD konstaterade att Aire Networks inte har iakttagit principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR då företaget inte proaktivt vidtagit lämpliga tekniska och säkerhetsmässiga åtgärder i förhållande till risknivån. Det handlade bland annat om bristande säkerhetsåtgärder före intrånget (till exempel att inte tillfälligt blockera åtkomsten för en anställd som var på semester) och ineffektiva åtgärder efter det första dataintrånget.