El procedimiento comienza con las reclamaciones presentadas ante la AEPD por las que se informa del envío de una comunicación de Ibermutua Mutua Colaboradora con la Seguridad Social, por la que se informa de que debido a un error informático se habían remitido datos personales, que incluían datos sobre salud, a diferentes empresas y entidades, con las que Ibermutua se había puesto en contacto para que fueran eliminados.
Según explica el reclamado, el error ocurre en la plataforma llamada Ibermutua Digital. A través de esta plataforma se ofrece a las empresas y asesorías asociadas información sobre el estado de las prestaciones de sus trabajadores. La forma de acceder a esta información es diversa, siendo una de ellas el envío a la entidad asociada de un correo electrónico semanal que contiene un fichero Excel con la información sobre sus trabajadores. La brecha se produce por un error en la programación del envío de estas notificaciones, que provoca que se envíen a distintas entidades colaboradoras de Ibermutua de datos de personas que no pertenecían a dichas empresas.
Ibermutua reconoce el “error humano” que afecta a 3.395 personas cuyos datos fueron enviados a un total de 354 destinatarios de empresas y asesorías colaboradoras de Ibermutua incluyendo datos de salud.
El reclamado informa de las acciones realizadas tras la detección de la brecha, entre otras, implementación de medidas técnicas y operacionales, así como la notificación a la AEPD y a los afectados, así como el plan de acción para adoptar medidas adicionales en el futuro.
Finalmente la AEPD estima que ha existido infracción del artículo 5.1.f) del RGPD y para el cálculo de la sanción aplica dos agravantes:
(i) la naturaleza, gravedad y duración de la infracción, en concreto por el elevado número de afectados.
(ii) la categoría de los datos afectados, ya que se incluían datos de salud (relativos a bajas por enfermedad o accidente) y el elevado número de datos enviado de cada afectado.
El procedimiento terminó con una propuesta de sanción de 1.000.000€ aunque finalmente el reclamado termina abonando 600.000€ por los descuentos aplicados por reconocimiento de responsabilidad y pronto pago.