El 7 de junio de 2024, la Agencia Española de Protección de Datos inició un procedimiento sancionador contra una importante empresa de seguros, tras la notificación de una brecha de seguridad de datos personales remitida la misma el 26 de mayo de 2023.
El incidente trae origen del extravío de un USB, enviado por mensajería postal, con datos de 143 personas, incluidos medios de pago que estaban cifrados pero la contraseña iba dentro del sobre.
La AEPD señala que el RGPD, en su art. 32, “no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.”
La Agencia señala que el Responsable tendrá que implementar medidas de seguridad adecuadas y proporcionales, teniendo en cuenta, por ejemplo:
- la seudonimización.
- el cifrado.
- la confidencialidad, integridad, disponibilidad y resiliencia.
- la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente.
- proceso de verificación, evaluación y valoración de la eficacia de las medidas.
No obstante, las medidas alegadas, la Agencia considera que la empresa aseguradora no contaba con medidas de seguridad adecuadas y por lo tanto considera que existe una clara infracción del art. 32 RGPD, imponiendo una sanción de 100.000 euros. Finalmente, la empresa aseguradora realiza un pago voluntario antes de la terminación del procedimiento sancionador, beneficiándose de la rebaja del 20% del importe de la propuesta de sanción.