La Agencia Española de Protección de Datos (en adelante, la “AEPD”) ha publicado recientemente una resolución sancionadora, a través de la cual se impone una multa a la empresa aseguradora italiana Generali, de 5 millones de euros, a raíz de una brecha de seguridad con afectación a más de 1,6 millones de personas.
A finales de 2022 fue detectado un ataque contra el formulario de consulta de clientes, que afectaba a los datos personales de clientes como: nombre, apellidos, DNI, teléfonos o direcciones de domicilios, o la cuenta bancaria, entre otros.
Además, se tuvo constancia de la filtración de datos a raíz de la venta de una base de datos de exclientes en un grupo de Telegram, lo que corrobora la exposición pública de estos datos.
La AEPD constató que en el momento de acaecer la brecha:
(i) no existía un análisis de riesgos para los derechos y libertades de las personas; ni unaevaluación de impacto de protección de datos; ya que Generali consideró que el nivel de riesgo de tratamiento era bajo;
(ii) falta de medidas de seguridad apropiadas: 1. no estaba implementado el segundo factor de autenticación en los aplicativos para los mediadores de seguro; 2. los mediadores podían acceder a datos de exclientes con los que no tenían relación contractual, debido a un fallo técnico en la actualización del software; 3. la inexistencia de logs para garantizar la trazabilidad en el sistema, impidió reconocer de forma inmediata el impacto de la brecha.
En consecuencia, la AEPD impuso una sanción de un total de 5 millones de euros por la comisión de las siguientes infracciones:
(i) violación del principio de confidencialidad (art. 5.1.f. Reglamento General de Protección de Datos o RGPD): la quiebra de la confidencialidad de los datos, al producirse la brecha de seguridad.
(ii) violación del principio de protección de datos desde el diseño (art. 25 RGPD):la falta de medidas desde el diseño y por defecto permitió el acceso no autorizado a datos personales de exclientes; y la configuración del sistema no garantizaba el principio de minimización en el tratamiento.
(iii) insuficiencia de medidas técnicas y organizativas de seguridad adecuadas al riesgo (art. 32 RGPD): la falta de adopción de medidas técnicas y organizativas apropiadas se manifestó a través de la brecha de datos personales.
(iv) la falta de evaluación de impacto en la protección de datos (art. 35 RGPD): Generali no realizó una evaluación de impacto, a pesar de que sus operaciones de tratamiento presentaban un alto riesgo para los derechos y libertades de los interesados. Generali actúa en un entorno donde se tratan grandes volúmenes de datos personales, algunos de los cuales tienen naturaleza sensible.