Vulnerabilidad en datos de tarjetas: la ICO gana en apelación y reabre la multa de £500.000 a DSG/Currys
La Vulnerabilidad en datos de tarjetas en DSG Retail vuelve a marcar agenda en ciberseguridad y compliance: el Court of Appeal de Inglaterra y Gales ha corregido el criterio de un tribunal superior y ha respaldado a la Information Commissioner’s Office (ICO), reactivando el procedimiento sobre la multa de £500.000 impuesta a DSG Retail tras un breach de 2017 que afectó a terminales de punto de venta. El núcleo técnico-jurídico del caso es si un dataset con números de tarjeta (PAN) de 16 dígitos y fechas de caducidad, pero sin nombre del titular, debe tratarse como “personal data” bajo la Data Protection Act 1998 (DPA 1998).
El regulador británico impuso en 2020 la sanción máxima permitida por la DPA 1998 (pre-GDPR) a DSG Retail, el grupo detrás de Currys PC World y Dixons Travel en el momento del incidente. Aunque el First-tier Tribunal había mantenido la sanción, el Upper Tribunal la había revertido al adoptar un enfoque centrado en las capacidades del atacante para identificar a las personas solo con los datos de pago. Con la sentencia de apelación, el caso regresa al First-tier Tribunal para reconsideración conforme al nuevo criterio.
Vulnerabilidad en datos de tarjetas en DSG Retail: qué ha dicho el Court of Appeal
El juez Lord Justice Warby concluyó que el análisis del Upper Tribunal fue incorrecto: la condición de “personal data” debe evaluarse desde la perspectiva del “controller” (en este caso, DSG Retail) y no exclusivamente desde la del atacante. Si el controlador puede, con medios razonables, vincular esos datos a un individuo, entonces se consideran datos personales y están sujetos a deberes de seguridad. Bajo ese enfoque, incluso si un tercero no puede identificar directamente al titular, la organización sigue obligada a proteger el dataset.
La decisión también pone el foco en riesgos modernos de reidentificación (“jigsaw identification”), es decir, la posibilidad de correlacionar datasets parciales con información disponible por otras vías para inferir identidades. El tribunal advierte que una interpretación basada únicamente en lo que “puede hacer el atacante” podría producir consecuencias regulatorias confusas y reducir indebidamente la obligación de salvaguarda en incidentes como ransomware o accesos no autorizados a conjuntos de datos parciales.
El incidente: malware en miles de POS y millones de registros
Según los antecedentes del caso, atacantes desplegaron malware en 5.390 cajas registradoras (tills) en tiendas del grupo, permaneciendo sin detección durante aproximadamente nueve meses. En ese periodo se habrían capturado 5,6 millones de registros de tarjetas y se habría accedido a información personal asociada a alrededor de 14 millones de personas, conforme a lo indicado por la ICO al emitir la Monetary Penalty Notice (MPN). En esta fase del litigio, el debate central se concentra en el subset de datos de pago (PAN y caducidad) sin el nombre impreso en la tarjeta.
La Vulnerabilidad en datos de tarjetas en DSG Retail se convierte así en un precedente relevante para organizaciones que procesan datos de pago y para su interpretación de “personal data” en marcos pre-GDPR, especialmente cuando se discute si datos pseudónimos o incompletos quedan fuera del perímetro regulatorio.
Impacto para compliance y seguridad: por qué importa este fallo
El criterio avalado por el Court of Appeal refuerza un principio operativo para empresas: la obligación de implementar “appropriate technical and organisational measures” no desaparece porque un atacante no pueda identificar a los individuos de forma inmediata. En términos prácticos, el enfoque vuelve a poner el énfasis en el modelo de amenazas completo (incluida correlación con fuentes externas) y en el rol del controlador como parte determinante para calificar datos como personales.
Para el ecosistema de pagos, la discusión conecta con prácticas de seguridad y cumplimiento como segmentación, logging, monitorización de POS, hardening, y controles para reducir exposición de datos como el PAN, en línea con marcos y guías de la industria. Aunque este caso se analiza bajo DPA 1998, la lectura es especialmente sensible para estrategias actuales de data minimization y protección de datos en entornos retail con superficies de ataque extensas.
Qué pasa ahora: el procedimiento vuelve al First-tier Tribunal
Tras la sentencia, el First-tier Tribunal revisará de nuevo el caso dentro del marco interpretativo establecido por el Court of Appeal. Existe la posibilidad de nuevas apelaciones y, si persisten disputas sustantivas, el asunto podría escalar hasta el UK Supreme Court. Currys PLC (nombre comercial actual de DSG Retail) no habría respondido a solicitudes de comentario, según la información publicada por el medio original.
Fuentes oficiales y documentos del caso: Judiciary of England and Wales (publicación de sentencias y materiales), Information Commissioner’s Office (ICO) (posición institucional y marco regulatorio).
En el corto plazo, la Vulnerabilidad en datos de tarjetas en DSG Retail queda como un punto de referencia para litigios de breach donde se discute si datasets “incompletos” (por ejemplo, PAN y caducidad sin nombre) activan obligaciones plenas de protección: el Court of Appeal ha dicho que sí, si el controlador puede vincularlos con personas, y ese criterio presiona a la industria a tratar estos conjuntos de datos como de alto riesgo en sus programas de seguridad.
