Un cliente de una conocida entidad bancaria presentó una reclamación ante la Agencia Española de Protección de Datos (“AEPD”) tras observar que en su perfil de cliente figuraba un justificante de una transferencia bancaria efectuada por un tercero. En este documento se podían visualizar determinados datos personales del ordenante y del destinatario de la transferencia, a saber: nombre; DNI; domicilio postal; número de cuenta bancaria asociada; así como múltiples datos relativos a la transferencia bancaria realizada.
La AEPD acordó iniciar procedimiento sancionador a la entidad bancaria. En el mismo, constató la veracidad de la reclamación presentada y la posibilidad de que dicho incidente pudiera haberse extendido a otros clientes de la entidad bancaria. La autoridad de control llega a esta conclusión tras apreciar deficiencias estructurales de las medidas de seguridad implantadas por la reclamada y de aspectos relacionados con el diseño; concretamente, la falta de un protocolo que permitiera lidiar con este tipo de casos. Asimismo, la AEPD entiende que el diseño de las medidas implementadas no resultaba idóneo, al haberse definido los procedimientos desde una perspectiva interna enfocada a negocio y no a los riesgos para los derechos y libertades de las personas.
Por otro lado, la AEPD esgrime, que la entidad bancaria no reaccionó de forma adecuada a la hora de contener la brecha, y califica las medidas adoptadas por la entidad como de “mero parche”.
Por su parte, la entidad reclamada alega que la AEPD ha tomado un caso concreto para extraer una consecuencia que, en su opinión, no ha quedado acreditada y considera que la probabilidad de que se reprodujera la brecha en el futuro era infinitesimal y del todo imprevisible.
Finalmente, la AEPD sanciona con 5 millones de euros a la reclamada por una triple vulneración de artículos del Reglamento General de Protección de Datos (“RGPD”): principio de integridad y confidencialidad de la información (art. 5.1.f), protección de datos desde el diseño y por defecto (art. 25) y seguridad del tratamiento (art. 32).
Contra esta resolución, que pone fin a la vía administrativa, podrá interponerse recurso contencioso administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.