Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 3,5 miljoner euro mot I-DE Redes Eléctricas Inteligentes S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att I-DE Redes Eléctricas Inteligentes utsattes för en cyberattack genom vilken cyberbrottslingar fått tillgång till interna system via en webbapplikation som heter File and Connection Management (GEA), som annars gör det möjligt för kunder och installatörer att digitalt dela anslutningar och utbyta data. Först efter två dagar insåg företaget att en massiv exfiltrering av data hade ägt rum.
Under sin utredning konstaterade AEPD att I-DE Redes Eléctricas Inteligentes, tillsammans med partnerföretaget Iberdrola, inte vidtagit tillräckliga säkerhetsåtgärder för att förhindra attacken. Enligt AEPD utgjorde detta en överträdelser av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kraven på säkerhet vid behandling av personuppgifter enligt artikel 32 GDPR.