La protección de datos de carácter personal supone un derecho fundamental que debe ser garantizado y la vulneración de las obligaciones indicadas por el Reglamento General de Protección de Datos (en adelante RGPD) se producen con independencia de si se materializa o no en un daño tangible para los individuos afectados. Debe de tenerse en cuenta que el reglamento se enfoca en la prevención de riesgos y en la protección de los derechos y libertades de los individuos lo cual implica que en diversas ocasiones la mera posibilidad de que los datos puedan ser utilizados de manera indebida ya es suficiente para considerar que se ha vulnerado alguna de las obligaciones previstas por la norma.
Esta resolución con expediente nº EXP202213638, nos habla de una entidad aseguradora que emitió a las partes reclamantes comunicación a través de correo electrónico o por vía postal en el cual se informaba del acaecimiento de un ciberincidente de seguridad en sus sistemas, consistente en la filtración de datos personales al conocerse la venta de una base de datos de exclientes a través de un grupo de Telegram, donde datos como nombre y apellidos, DNI de la persona afectada, DNI del tomador de la póliza, teléfono 1 y teléfono 2, fecha y país de nacimiento, estado civil, dirección completa, CP, población, comunidad e IBAN podrían haberse filtrado. Se detectó la existencia de un error en el software que había permitido a los atacantes acceder no solo a los clientes del propio corredor afectado, sino también a todos los exclientes de la entidad. Procediéndose a realizar una nueva evaluación del riesgo y severidad del incidente, concluyendo la necesidad de notificar tanto a la AEPD como a las personas afectadas.
La AEPD consideró que la entidad aseguradora había incurrido en cuatro infracciones distintas del RGPD: no adoptar medidas de seguridad adecuadas (art. 32.1), no cumplir con el principio de protección de datos desde el diseño (art. 25.1), no realizar una evaluación de impacto en la protección de datos (art. 35) y vulnerar el principio de confidencialidad (art. 5.1 f).
En relación a los perjuicios sufridos por los afectados, la entidad aseguradora sostiene que no se ha probado ningún daño real, pero cabe destacar que la infracción del RGPD no exige un «daño real» o tangible para considerarse como tal. El simple hecho de la pérdida de control sobre los datos y la materialización del riesgo ya constituye una violación de los derechos del interesado. Por tanto, la falta de prueba de un daño concreto para cada afectado no exime a la aseguradora de su responsabilidad en el cumplimiento de las obligaciones previstas en el RGPD.
La entidad aseguradora argumentó que había cumplido con sus obligaciones en virtud del artículo 25.1 del RGPD, asegurando que llevó a cabo un análisis exhaustivo de los riesgos y aplicado las medidas necesarias para mitigar dichos riesgos. Sin embargo, la entidad aseguradora confirmó que la aplicación del Servicio de Mantenimiento de Clientes permitió a los mediadores acceder a datos de exclientes. Este acceso no autorizado a los datos personales de exclientes demuestra que esta no implementó adecuadamente las medidas técnicas y organizativas necesarias desde el diseño de sus sistemas para limitar el acceso a los datos únicamente a los fines específicos para los cuales fueron recogidos.
En cuanto a la supuesta vulneración del artículo 35 del RGPD, la entidad aseguradora defiende que no era necesaria una Evaluación de Impacto en Protección de Datos (EIPD), sosteniendo que realizó un análisis de riesgos que concluyó que el tratamiento de datos no implicaba un alto riesgo para los derechos y libertades de los interesados. Sin embargo, como se indicaba al principio, existen varios factores que justifican la necesidad de una EIPD, incluyendo el considerable volumen de datos personales tratados y la combinación de datos financieros (en este caso el IBAN), con los identificativos y de contacto, ya que multiplica el riesgo de suplantación de identidad y daños patrimoniales graves.
Respecto a la insuficiencia de medidas de seguridad (art. 32 RGPD), la entidad aseguradora reafirmó que implementó medidas adecuadas para proteger los datos personales y que la brecha de seguridad fue resultado de factores ajenos a su control. Conviene señalar que la infracción del artículo 32 del RGPD no se debe a la brecha de datos personales en sí misma, sino que la brecha de datos personales simplemente manifestó las deficiencias y carencias en las medidas de seguridad que la entidad aseguradora debería haber implementado previamente. Estas deficiencias no se manifestaron directamente por la brecha, sino tras la verificación y el análisis que tuvo lugar tras el acaecimiento de la misma.
Sobre la supuesta vulneración del principio de confidencialidad (art. 5.1.f RGPD), la entidad sostiene que la AEPD está sancionando la existencia de la brecha de seguridad como un resultado en lugar de una falta de medios. Sin embargo, el hecho de que la entidad sostenga la necesidad de comunicar los hechos a un número tan elevado de personas afectadas refleja la gravedad del incidente. Este argumento, lejos de exonerar a la entidad, manifiesta el impacto que puede tener la brecha de datos personales en su relación con el principio de confidencialidad. La gran escala de la notificación es una indicación clara de la magnitud de la vulneración del principio de confidencialidad en cuanto a que la brecha de datos personales entraña un alto riesgo para los derechos y libertades de las personas físicas.
En conclusión, la entidad aseguradora defiende que cada una de las imputaciones realizadas por la AEPD se basa en supuestos incorrectos o en interpretaciones erróneas de la normativa aplicable, y que ha cumplido con sus obligaciones bajo el RGPD de manera diligente y adecuada. Del mismo modo, que esta argumenta que el enfoque de la AEPD es incorrecto y lleva a la imposición de múltiples sanciones por un único hecho, lo que compromete el principio non bis in idem. Sin embargo, hemos visto que la AEPD ha seguido una metodología adecuada y justificada para evaluar tanto las circunstancias atenuantes como las agravantes en este caso, motivándolo, y aplicando el principio de proporcionalidad conforme a la normativa vigente reflejando en las sanciones propuestas la gravedad de las infracciones.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento teniendo en cuenta las condiciones generales para la imposición de multas administrativas establecidas por el citado artículo 83.2 del RGPD, atendiendo a las circunstancias del presente supuesto, se considera lo siguiente:
- Multa de cuantía de 1.000.000 € (UN MILLON DE EUROS) por vulnerar el principio de confidencialidad (art. 5.1 f RGPD).
- Multa de cuantía de 1.000.000 € (UN MILLÓN DE EUROS) por no adoptar medidas de seguridad adecuadas (art. 32.1 RGPD).
- Multa de cuantía de 2.000.000 € (DOS MILLONES DE EUROS) por no cumplir con el principio de protección de datos desde el diseño (art. 25.1 RGPD).
- Multa de cuantía de 1.000.000 € (UN MILLÓN DE EUROS) por no realizar una evaluación de impacto en la protección de datos (art. 35 RGPD).
Todo esto nos lleva a concluir que no realizar un Análisis de Riesgos puede tener consecuencias graves para cualquier organización. Este análisis es crucial para identificar y mitigar amenazas potenciales a la seguridad de los datos personales. Ignorar este proceso no solo pone en peligro la integridad y la confidencialidad de la información, sino que también expone a la organización a sanciones legales y financieras. En conclusión, el Análisis de Riesgos es una herramienta esencial para la protección de datos personales. No solo asegura el cumplimiento normativo, sino que también protege la integridad y privacidad de la información, generando confianza y fortaleciendo la competitividad de la organización en el mercado.
