La autoridad de control ha impuesto una sanción a AXA de 100.000 euros por la infracción del artículo 32 del RGPD (seguridad del tratamiento), reducida a 80.000 euros por cuanto la compañía ha hecho uso de una de las dos reducciones previstas, por lo que, en consecuencia, no reconoce su responsabilidad.
En este caso, la compañía notificó en mayo de 2023 una brecha de seguridad sufrida debido a que envió por mensajería postal un sobre que contenía un USB con datos de carácter personal (incluyendo medios de pago) de 143 persona. Si bien el dispositivo estaba cifrado, la contraseña se incluía en el mismo sobre.
Tal y como expone la AEPD en su resolución, la normativa vigente no exige ni establece un listado determinado de medidas de seguridad que deben ser aplicadas por los responsables del tratamiento, sino que son estos los que, con posterioridad a la realización de un análisis de los riesgos existentes, han de identificar las mismas en función del estado de la técnica, los costes de implementación, etc.
En el presente caso, teniendo en consideración que el sobre vino devuelto, pero sin que dentro del mismo estuviera ni el USB, ni la contraseña, existen evidencias de que, a pesar de lo que afirma la compañía (que se ha elaborado un protocolo de seguridad de la información que ha fallado -puesto que se indica que si se envían documentos físicos, las contraseñas deben enviarse por separado-; que si bien el procedimiento habitual para el envío de esta información es electrónico, en este caso, y debido a que se consideró que el riesgo era bajo, se llevó a cabo a través de esta vía o que se forma a todos los empleados en esta materia), no se han implementado medidas de seguridad que pudieran ser consideradas adecuadas.
En este sentido, como se indica por la autoridad de control, “la responsabilidad del reclamado viene determinada por la falta de medidas de seguridad adoptadas para este caso concreto”.
Esta resolución permite mostrar la importancia de, no sólo haber elaborado políticas de seguridad que regulen cómo se debe actuar en determinados supuestos, sino también de su implementación por parte de los empleados del responsable, puesto que, en caso contrario, es posible que se infrinja la normativa y se impongan sanciones elevadas a la entidad.
Puede acceder a la resolución sancionadora de la AEPD aquí.