Dos exempleados sustraen y divulgan datos personales de clientes al marcharse de su empresa
El pasado 26 de febrero de 2021 la AEPD publicó el procedimiento sancionador PS/00461/2020 (el “Procedimiento”) sobre la brecha de seguridad de datos personales causada por dos exempleados de CaixaBank S.A. (“CaixaBank”), los cuales, al marcharse de su empresa, sustrajeron y divulgaron a terceros ajenos a la entidad datos personales de clientes.
En los procedimientos sancionadores de la AEPD relativos a brechas de seguridad de datos personales, es común que la AEPD investigue al responsable del tratamiento por carecer de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 del RGPD).
Tal es el caso en procedimientos sancionadores como PS/00425/2020, PS/00187/2020, PS/00144/2020 o PS/00163/2020 entre otros.
Sin embargo, en el Procedimiento no se menciona una posible infracción del artículo 32. De hecho, la AEPD califica las medidas de seguridad y actuación de CaixaBank como “adecuadas”:
“[…] la entidad investigada tenía implementadas medidas de seguridad que, en principio, eran las adecuadas para garantizar que los datos personales no fueran accesibles por terceros y, como consta en los hechos, en cuanto el ataque fue detectado y confirmado por la entidad se adoptaron de manera inmediata una serie de medidas de seguridad adicionales con el fin de minimizar los riesgos y extremando las dificultades para el acceso y extracción de la información”.
El Procedimiento acabó siendo archivado. Creemos por tanto que revisar el Procedimiento podría resultar de interés para nuestros lectores para ver qué medidas de seguridad y actuaciones de CaixaBank la AEPD consideró “adecuadas” en el marco de una brecha de seguridad de datos personales causada por exempleados.
Hechos
La brecha de seguridad sufrida por CaixaBank fue causada por dos exempleados cuyo trabajo consistía en el asesoramiento a clientes sobre la administración de su patrimonio financiero.
Al marcharse de CaixaBank, entre los meses de junio y julio de 2019, los dos exempleados se enviaron a su cuenta personal de email datos de un total de 219 clientes, que presuntamente fue divulgada a terceros ajenos a la entidad. Entre estos datos personales de clientes se encontraban su DNI, información económico-financiera, información de posiciones, rentabilidades y variaciones patrimoniales anuales (la “Brecha de Seguridad”).
La Brecha de Seguridad se confirmó el 28 de octubre de 2019 a raíz de un informe de auditoría, tras detectar indicios de una posible divulgación ilícita a terceros de datos personales. El 17 de enero de 2020, CaixaBank notificó la Brecha de Seguridad a la AEPD.
Medidas de CaixaBank tras detectar la Brecha de Seguridad para minimizar su impacto
El 4 de octubre de 2019, CaixaBank requirió a los dos exempleados a través de un burofax que no utilizaran o revelaran los datos personales sustraídos, exigiéndoles además la destrucción de dichos datos.
El 8 de octubre de 2019 CaixaBank también remitió un burofax a la actual empresa de los dos exempleados advirtiendo de los hechos con el fin de que la entidad tomara las medidas preventivas necesarias en relación con los datos personales de los clientes de CaixaBank.
El 17 de enero de 2020, CaixaBank notificó la Brecha de Seguridad de datos personales a la AEPD.
El 24 de enero de 2020, CaixaBank presentó una querella contra los exempleados ante los juzgados de instrucción de Madrid, dado que tales hechos podrían ser constitutivos de delito al afectar a la privacidad de los clientes, el secreto bancario y la protección de secretos comerciales.
El 4 de febrero CaixaBank alcanzó con los exempleados un acuerdo de confidencialidad y no concurrencia. En virtud de dicho acuerdo, los exempleados se comprometieron a no reproducir, publicar, difundir o comunicar a terceros los datos personales de los clientes de CaixaBank. Los exempleados también firmaron un Certificado de Destrucción en que se obligaron a destruir de forma inmediata todos los datos personales, en cualquier soporte, de los clientes de CaixaBank.
El 14 de febrero de 2020, se realizó una notificación adicional a la AEPD, informando de las medidas adoptadas al respecto por parte de CaixaBank como consecuencia de la Brecha de Seguridad. Por último, el 19 de marzo de 2020 CaixaBank comunicó a la AEPD el cierre de la Brecha de Seguridad.
Asimismo, como respuesta a la brecha de seguridad, CaixaBank inició un proceso para realizar la correspondiente evaluación de impacto.
En relación con la comunicación de la Brecha de Seguridad a los afectados, CaixaBank concluyó que no era necesario realizarla, al haber adoptado la entidad medidas apropiadas para evitar que la Brecha de Seguridad tuviera algún impacto en los derechos y libertades de los clientes afectados.
Medidas de seguridad implantadas con anterioridad a la detección de la Brecha de Seguridad
Normas internas: El Código de Ética al que están sujetos los empleados de CaixaBank recoge la obligación de confidencialidad. La norma interna 137 de la entidad describe la importancia del deber de confidencialidad de la información, el cual era de obligado cumplimiento y conocimiento por todos los empleados.
Formación: CaixaBank ofreció a sus empleados formaciones periódicas que debían superar por estar vinculadas a su retribución variable.
Medidas de seguridad técnicas. El acceso de los empleados de CaixaBank a la base de datos de clientes, (si los clientes no eran de su oficina) estaba monitorizado. El sistema preguntaba al usuario la razón de la consulta de los datos, ofreciendo solo tres opciones. Tras seleccionar la razón, el sistema ofrecía un recordatorio al empleado indicándole que su consulta seria monitorizada en caso de incumplimiento del RGPD, a lo que el empleado debía confirmar que deseaba seguir adelante con la consulta.
Conclusión
Creemos que el Procedimiento es una oportunidad desaprovechada por la AEPD para explicar más en detalle su criterio por el que considera que las medidas de seguridad de CaixaBank eran aceptables.
En ausencia de esta explicación, otra alternativa es la de estudiar e intentar replicar las medidas tomadas por CaixaBank antes y después de la detección de la Brecha de Seguridad, con el fin de mitigar el riesgo de una sanción por la AEPD en los casos de brechas de seguridad de datos personales causadas por un empleado al marcharse de su empresa.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios