Es noticia
Chapuza de Xiaomi: sus móviles en tiendas de Madrid exponen datos de ventas y clientes
  1. Tecnología
con un poco de pericia, cualquiera puede verlos

Chapuza de Xiaomi: sus móviles en tiendas de Madrid exponen datos de ventas y clientes

Si pruebas los móviles de exposición de dos tiendas de Xiaomi en Madrid encontrarás datos de clientes, de empleados y de facturación. La compañía se enfrenta a un incumplimiento de la LOPD

Foto: Tienda de Xiaomi en Barcelona. Foto: Reuters/Yves Herman.
Tienda de Xiaomi en Barcelona. Foto: Reuters/Yves Herman.

Chapuza sonrojante de Xiaomi en Madrid. La tecnológica china, que tiene sus tiendas abiertas bajo modelo de franquicia, ha cometido un grave error en dos de las once 'Mi Store' que posee en la capital dejando al descubierto a todo el mundo los datos de sus empleados y de clientes, tal y como ha podido confirmar Teknautas, así como los registros de cierre de caja y facturación de los propios establecimientos. Lo peor: el fallo se produce de la forma más básica e inexplicable posible.

El problema está en los móviles en exposición en las tiendas, aparatos que cualquier persona que entre puede probar sin ningún problema. Basta unos segundos para que cualquiera acceda a estos datos, algunos de los cuales deberían estar protegidos conforme a la Ley Orgánica de Protección de Datos (LOPD).

Foto: Vista trasera del Pocophone. (M. Mcloughlin)

Teknautas ha podido verificar este hecho y acceder a los datos. Basta con entrar en la tienda Xiaomi Mi Store Sol (calle Carretas 5, junto a la Puerta del Sol) o en el Mi Store La Vaguada. En ellas hay varios 'smartphones' a disposición de los clientes que quieran probarlos, y es ahí precisamente donde está la información.

Para acceder a ella solo hay que abrir la aplicación de Gmail. La mayoría de dichos móviles tienen configurada en la 'app' la cuenta de correo electrónico vinculada a la propia tienda, así que, si alguien entra en la carpeta de 'Enviados', podrá ver los correos que son enviados desde dicha cuenta. Ahí se puede ver cómo a diario, desde el correo de la propia tienda, se envían los datos de facturación y registro de caja a otra cuenta de correo, vinculada a la franquicia.

Cualquiera puede abrir los archivos adjuntos para consultar la facturación diaria de las cajas de estas tiendas, así como los tickets de todas las compras. Si la información acabase aquí no pasaría de ser una anécdota o, como mucho, un error interno de la propia compañía, sin repercusión fuera de ella. Sin embargo, la cosa va más allá: en los correos también se exponen los datos personales de los empleados de dichas tiendas, así como, en ocasiones, los de algunos clientes.

placeholder Cierre de caja de la tienda Xiaomi Sol, a disposición de los usuarios que usen los móviles de la tienda.
Cierre de caja de la tienda Xiaomi Sol, a disposición de los usuarios que usen los móviles de la tienda.

Es el caso de los tickets que mostramos sobre estas líneas, pertenecientes a la tienda Madrid Sol de Xiaomi. En ellos se puede ver el nombre y apellidos de los trabajadores de estas franquicias, así como el volumen de las ventas durante varios días del pasado mes de agosto, entre otras cosas. Los informes son enviados a diario, con lo que la carpeta 'Enviados', tal y como hemos podido comprobar, contiene cada día los nuevos registros de facturación. Gran parte de esta información ha sido pixelada por este diario para preservar la confidencialidad de los datos sensibles.

Debajo puedes ver otro ejemplo. El pasado 9 de agosto, un cliente adquirió un móvil Xiaomi M1A1 por 200€. El cliente solicitó factura pero no pudieron hacérsela en el momento, así que se la enviaron poco después a través del correo electrónico de la tienda, el mismo que está vinculado a todos los móviles de exposición. En la factura adjunta, que el pasado 31 de agosto seguía disponible en los móviles de la tienda Xiaomi de La Vaguada, se puede ver el nombre completo del cliente y la dirección de su domicilio (pixelados por este diario para mantener el anonimato).

placeholder Factura enviada a un cliente y disponible en los móviles de la tienda Xiaomi de La Vaguada.
Factura enviada a un cliente y disponible en los móviles de la tienda Xiaomi de La Vaguada.

¿Incumple la LOPD?

De cara al ciudadano medio este hecho podría verse como un despiste por parte de Xiaomi o una anécdota interna, pero lo cierto es que el asunto engloba mucha más gravedad de lo que parece, ya que estas dos tiendas de Xiaomi podrían estar incumpliendo la Ley Orgánica de Protección de Datos (LOPD) que rige en España.

Así lo considera el jurista Samuel Parra: "Si tienes unos terminales expuestos para que los clientes puedan trastear con ellos no tiene ningún sentido que puedas encontrar información de carácter personal de otros clientes y mucho menos información de carácter económico o comercial sobre las ventas realizadas por cada trabajador. No es un caso en el que violando algún sistema de seguridad se haya tenido acceso a información confidencial. La información se encuentra a simple vista y accesible para cualquiera que pasa por allí".

"La AEPD podría investigarlo y, si se infringe la normativa de protección de datos, abrir un procedimiento sancionador"

En su opinión, "esta falta de seguridad en la custodia de la información podría suponer una vulneración del principio de seguridad de los datos de carácter personal. El Reglamento General de Protección de Datos (RGPD) establece que los responsables deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado tendente, entre otras cosas, a garantizar que terceros no autorizados no pueda acceder a información donde consten datos personales (ya sea de clientes o de trabajadores)".

De hecho, "si se han visto afectados datos personales, como parece ser el caso –pues hay incluso mensajes de correo electrónico y facturas expuestas–, la AEPD podría iniciar actuaciones previas de investigación para ver qué ha sucedido y, si en efecto se constata una infracción de la normativa de protección de datos, abrir un procedimiento sancionador contra la empresa o el responsable de la infracción. La AEPD puede iniciar esta investigación bien por denuncia de algún interesado o afectado o bien por tener conocimiento de esta situación al aparecer la noticia en un medio de comunicación".

placeholder Los datos son accesibles desde los móviles expuestos a disposición de los clientes.
Los datos son accesibles desde los móviles expuestos a disposición de los clientes.

Para Samuel Parra, además, "Xiaomi debería revisar en profundidad sus políticas de seguridad y privacidad, así como de formación de trabajadores, pues es evidente que algo está fallando si permiten estas situaciones en sus tiendas. Quizá los empleados no hayan recibido la formación adecuada en materia de protección de datos o no se ha realizado un análisis de riesgos adecuado examinando todas las cuestiones que pueden afectar a la confidencialidad de los datos. Estas tiendas no superarían la más elemental de las auditorías en protección de datos".

¿Quién es el responsable del fallo?

La negligencia parece evidente, pero ¿de quién es la culpa? Para responder a esta respuesta conviene aclarar que Xiaomi no monta sus tiendas con equipo propio, sino que las externaliza a través de franquicias que, previo pago de la licencia correspondiente, pueden abrir una tienda Xiaomi Mi Store oficial y compartir ingresos y beneficios con la compañía tecnológica.

Xiaomi cuenta con once tiendas en España: cinco en Madrid, una en Barcelona y otra en Granada. Tal y como ha podido comprobar este diario, no todas las tiendas han cometido este fallo de privacidad, con lo que no se rigen por un funcionamiento único, sino que cada una establece sus propios protocolos de actuación a la hora de enviar registros de caja, facturas para clientes, datos de empleados, etc. En realidad son dos las tiendas que han cometido esta negligencia: el Mi Store Sol (en calle Carretas) y el Mi Store La Vaguada. El resto se libran.

Las tres tiendas pertenecen a una misma empresa franquiciada: Balmore Atlantic, cuyo administrador único es el empresario Víctor Planas Bas

No es casualidad. Estas dos tiendas pertenecen a una misma empresa franquiciada (dueña también de la tienda de Barcelona): se trata de Balmore Atlantic. La compañía, fundada en junio de 2017 coincidiendo con la apertura de la primera tienda de Xiaomi en Madrid, tiene como administrador único a Víctor Planas Bas, un empresario barcelonés con actual presencia en más de una decena de empresas.

placeholder Víctor Planas, propietario de las franquicias que han expuesto los datos de Xiaomi.
Víctor Planas, propietario de las franquicias que han expuesto los datos de Xiaomi.

Víctor Planas Bas no es un desconocido dentro del sector de tecnología y electrónica en España. Entre sus firmas se encuentra Zopo Iberia SL, la responsable de la marca de 'smartphones' Zopo, así como Afex Suns SL, responsable de la distribución y venta de productos de la marca Sunstech, que en 2017 facturó más de 17 millones de euros.

Este diario ha ha puesto en contacto con Xiaomi para trasladarle la información que aquí revelamos. En el momento de la publicación de este reportaje, la compañía se encuentra investigando dicho asunto para ponerle solución lo antes posible. Hasta entonces, Xiaomi tendrá que lidiar con el conflicto derivado de que dos de sus tiendas franquiciadas hayan expuesto no solo datos personales de clientes y empleados, sino también los de la facturación y negocio generados dentro de las propias tiendas.

Xiaomi: "Evitaremos situaciones como estas"

[Actualización] Tras la publicación de este reportaje, Xiaomi ha emitido un comunicado en el que asegura que la compañía "se toma la privacidad y seguridad de los usuarios de sus dispositivos muy en serio. Cumplimos con el GDPR así como con todo el marco legal de los mercados en los que operamos", asegura la compañía.

Además, "tan pronto como ha llegado a nuestro conocimiento este incidente hemos alertado a nuestros partners para requerirles urgentemente la máxima atención a la hora de garantizar de inmediato que sus procedimientos cumplen por completo con el GDPR y advertirles que no pueden incumplir las políticas de privacidad y protección de datos en relación con la información de nuestros clientes. Nos tomamos este tipo de problemas como un tema serio y vamos a dar los pasos necesarios para evitar nuevas situaciones como esta".

Chapuza sonrojante de Xiaomi en Madrid. La tecnológica china, que tiene sus tiendas abiertas bajo modelo de franquicia, ha cometido un grave error en dos de las once 'Mi Store' que posee en la capital dejando al descubierto a todo el mundo los datos de sus empleados y de clientes, tal y como ha podido confirmar Teknautas, así como los registros de cierre de caja y facturación de los propios establecimientos. Lo peor: el fallo se produce de la forma más básica e inexplicable posible.

Ley de protección de datos
El redactor recomienda