La Agencia Española de Protección de Datos ha impuesto, en meses recientes, varias multas relativas a la falta de observancia, por parte de algunas empresas, de medidas de seguridad adecuadas al tratamiento de datos personales que estas llevan a cabo. Una brecha de seguridad que comprometió datos personales de clientes, o la visualización indebida de datos personales por terceros, les ha supuesto a una conocida entidad bancaria y a una empresa del sector eléctrico sanciones millonarias.
En los meses de enero y abril de 2024 se publicó en Boletín Oficial del Estado («BOE») algunas sanciones de la Agencia Española de Protección de Datos («AEPD»), por superar estas la cantidad de un millón de euros. Dos de las empresas infractoras, en este caso, destacable por el importe de la sanción, son Endesa Energía, S.A.U. («Endesa») y CAIXABANK, S.A. («CaixaBank»), multadas con 6.100.000,00 y 5.000.000,00 de euros, respectivamente, correspondiendo la suma de 1.500.000,00 euros, del total, a la infracción relativa a medidas de seguridad.
Desde el inicio de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»), en 2018, aquellas personas físicas o jurídicas que traten datos de carácter personal deben aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». Para ello, deberán tener en cuenta «los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
El artículo 32 del RGPD es bastante claro al respecto: los responsables y los encargados del tratamiento tienen que implementar y aplicar las medidas de seguridad que estimen oportunas, ello en función del riesgo que se pueda atribuir a una determinada actividad de tratamiento de datos.
Endesa: una brecha de seguridad y millones de interesados afectados
Según los hechos probados contenidos en la resolución de este procedimiento sancionador, la empresa española del sector eléctrico y gasístico tuvo conocimiento de una vulnerabilidad que afectaba a datos personales de los cuales era responsable, en agosto de 2021. Se detectó en la plataforma Facebook un anuncio en el que se vendía un usuario para acceder a una plataforma de clientes de Endesa, la cual contenía información de clientes de la compañía. Durante la investigación del incidente se pudo detectar el compromiso de las credenciales de un usuario del aplicativo, que estaban siendo usados por el anunciante de Facebook para vender accesos.
En meses posteriores se detectó anuncios adicionales en Facebook, a través de los cuales se ofrecía la venta/alquiler de credenciales de acceso a los sistemas de Endesa.
La AEPD consideró, en el acuerdo de inicio del procedimiento sancionador, que: (i) la compañía debería haber tenido implementadas, desde un principio, las medidas de seguridad que comenzó a aplicar una vez tuvo constancia del incidente; (ii) transcurrieron varios meses desde que Endesa identificó las posibles mejoras que podía implementar respecto de las medidas de seguridad de las herramientas afectadas; (iii) se podía haber implementado medidas de seguridad adicionales sobre las herramientas; (iv) no fue diligente a la hora de contactar con Facebook para la retirada de los anuncios anteriores; y (v) tardó varios meses en eliminar las cuentas de los usuarios comprometidos de los sistemas.
La conclusión a la cual llegó la AEPD en la resolución de procedimiento sancionador fue que «Endesa no aplicó las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de que una violación de la seguridad de los datos personales como la que tuvo lugar se produjera».
CaixaBank: visualización indebida de datos personales de clientes por terceros
En lo referente a la resolución -altamente anonimizada- de CaixaBank, el escrito de reclamación que dio inicio a este procedimiento describía que el reclamante había podido acceder al justificante de la transferencia realizada por otro cliente de CaixaBank, por lo que pudo tener acceso a los datos personales de dos personas, los cuales figuraban en el comprobante de la transferencia realizada por ese otro cliente de la entidad.
Tras analizar los hechos probados y las distintas alegaciones realizadas por CaixaBank, la AEPD estimó que «resultaría acreditada una infracción del artículo 32 del RGPD por la falta de medidas de seguridad adecuadas en el procedimiento establecido por la entidad bancaria», y es que CaixaBank no aplicó las medidas de seguridad necesarias, a ojos de la AEPD, sino «un mero parche».
En combate normativo constante sobre la aplicación del RGPD, materializado en diversas sanciones a lo largo de los últimos años -y que desde la perspectiva de la entidad bancaria puede incluso haberse tornado algo subjetivo-, la AEPD reiteró que «la implantación de las medidas técnicas y organizativas apropiadas (..) no se ha enfocado desde los riesgos en los derechos y libertades de los interesados (sino de los riesgos de la organización), ni el sistema se encuentra gestionado de forma proactiva».
Consideraciones finales: medidas de seguridad ¿insuficientes?
Si hay un punto sobre el cual el RGPD hace hincapié es el relativo a la responsabilidad proactiva, es decir, que los responsables del tratamiento tengan la capacidad de cumplir con los principios relativos al tratamiento de datos, como es el de «integridad y confidencialidad»; que los datos personales puedan ser tratados de forma que se garantice una seguridad adecuada a estos, mediante la aplicación conveniente de medidas técnicas u organizativas.
La Agencia Española de Protección de Datos, como autoridad estatal de control independiente encargada de velar por el cumplimiento de la normativa sobre protección de datos, es muy estricta en lo que a medidas de seguridad se refiere, lo que se refleja en las sanciones impuestas a Endesa y CaixaBank, por no tener implementado un marco de seguridad adecuado al riesgo.