La entidad bancaria Openbank ha sido sancionada con 2.500.000€ por infringir lo dispuesto en el RGPD, concretamente en relación con los artículos 25 y 32 sobre la protección de datos desde el diseño y la seguridad del tratamiento de los datos personales respectivamente.
En cuanto a la sanción impuesta por incumplimiento del artículo 25 del RGPD, esta se debe a no haber aplicado unas medidas técnicas y organizativas apropiadas que permitiesen implementar los principios de protección de datos personales, así como proteger los derechos de dos millones de clientes potencialmente afectados y 65.000 clientes directamente afectados, entre mayo de 2018 y octubre de 2022.
La compañía pese a realizar una evaluación de impacto y calificar como alto el riesgo en relación con el envío de la documentación solicitada a los clientes en virtud de la LPBCFT, consideró que el correo electrónico era un medio válido.
Según la AEPD “el correo electrónico no puede considerarse un medio apropiado para garantizar un nivel de seguridad adecuado al riesgo en el envío de documentación que contenga datos personales de los proporcionados en virtud del Capítulo II de la LPBCFT, de los que requieren una especial protección, teniendo en cuenta la normativa de prevención de blanqueo de capitales, el carácter de los datos que se están tratando y el RGPD”. El tratamiento en cuestión requiere de unas medidas reforzadas que garanticen la integridad y la confidencialidad de los datos que se transmiten vía email y en el caso de Openbank estas medidas no se han implementado.