Esto que dices ya es otra cosa. Independientemente de que sea obligatorio o no el cifrado de datos (depende de si por los datos en cuestión deben implantar medidas de nivel alto o no) es una práctica de seguridad informática absolutamente desastrosa.
Puedes informar a la AEPD, y por supuesto yo dejaría de trabajar con alguien así.
En primer lugar, no estamos hablando de que su sistema me haya generado una contraseña y esta haya sido enviada a mi, cosa totalmente normal puesto que esa contraseña autogenerada no es un dato personal mio. La realidad es que la contraseña que me envian es la contraseña que yo mismo he insertado en el formulario de registro, un dato personal.
Continuaré diciendo que al enviar mi contraseña sin cifrar por correo, no solo demuestran que la misma no esta cifrada mediante cifrado unidireccional (se puede comprobar si es la misma que la que yo inserto en futuros accesos, por que en cada acceso se usa el mismo cifrado y ambos deben coincidir, pero nunca descifrar en un tiempo razonable la contraseña original), si no que cualquier empleado de la empresa con acceso al correo electronico tiene acceso a este dato personal, a mi entender considerado como sensible por la GPDR.
Terminaré diciendo que la GPDR exige que se hagan todos los esfuerzos posibles por garantizar la seguridad de los datos de los clientes, y que claramente, dado que la tecnología permite hacerlo casi sin esfuerzo, cifrar las contraseñas de manera unidireccional me parece un esfuerzo necesario.
Muchas gracias, y a ver si algún experto en la GPDR me puede ayudar.
Es imprescindible en ocasiones poder enviar una contraseña no cifrada, lo cual NO SIGNIFICA en absoluto que no esté debidamente cifrada en su BD.
Piensa por ejemplo cuando te dan la contraseña de una tarjeta de crédito: ya me dirás como la puedes usar la primera vez si no te dicen cual es el PIN, ni cómo vas a cambiar la contraseña, que es lo que se recomienda hacer la primera vez. En algunas webs funcionan de manera similar y es perfectamente lícito: te dan una primera contraseña, y en el primer acceso a la misma la cambias.