La Agencia Española de Protección de Datos (en adelante, “AEPD”), ha sancionado con 5 millones de euros a la entidad financiera Caixabank por no contar con medidas de seguridad adecuadas, y comprometer, como consecuencia de una brecha de seguridad, los datos personales de sus clientes.
La relación de hechos es la que sigue:
- Un cliente de Caixabank presenta reclamación ante la AEPD, indicando que la entidad financiera no respeta las normas relativas a la confidencialidad de los datos de carácter personal. En concreto la persona reclamante indica que en su área personal, en uno de los apartados en los que se contiene información documental, figura un archivo relativo a una transferencia realizada por un tercero a otra persona desconocida, en la que figuran numerosos datos personales: DNI, domicilio postal, número de cuenta bancaria, etc.
- La entidad financiera reclamada indica a la AEPD que la causa de la brecha está motivada porque dos operaciones (la realizada por el reclamante y la realizada por un tercero) coinciden exactamente en el tiempo (se realizan en el mismo “milisegundo”), y que se ha realizado un análisis que indica que la operación no ha afectado a más clientes, alegando, asimismo, que no se ha infringido la normativa de protección de datos.
Sin embargo, la AEPD considera que “CaixaBank ha infringido el RGPD, [y que] no ha adoptado, a lo largo del procedimiento sancionador, todas las medidas necesarias para cumplir con la legalidad vigente”. En concreto, la AEPD valora la potencial afectación a un gran volumen de interesados, y, además, advierte graves deficiencias estructurales en cuanto a medidas de seguridad y diseño desde el punto de vista de protección de datos, que, por sí mismas, podrían ser sancionadas.
En vista de lo anterior, la AEPD impone una multa de 5 millones de euros a Caixabank, por comprometer la confidencialidad de los datos personales de sus clientes, por no contar con medidas de seguridad adecuadas, y por no tener en consideración la protección de datos de carácter personal desde el diseño de sus sistemas.