La AEPD ha impuesto a Caixabank una sanción de 2.5 millones de euros por infringir el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad), una sanción de 1.5 millones de euros por la infracción del artículo 25 del Reglamento (protección de datos desde el diseño y por defecto), así como una sanción de 1.5 millones de euros por infringir el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento).
En este caso, se interpuso la reclamación ante la AEPD debido a que el afectado pudo comprobar en su perfil de usuario que constaba un documento “relativo a una transferencia realizada por un tercero a otra persona desconocida (en el que figuran numerosos datos personales, tales como DNI, domicilio postal, número de cuenta bancaria, etc.)”. De este modo, tuvo acceso a datos de carácter personal de terceros con los que no mantenían relación alguna. Adicionalmente, Caixabank no respondió adecuadamente a la reclamación que el afectado le comunicó a través del canal habilitado a tal efecto.
Una vez notificada la reclamación, la entidad bancaria puso de manifiesto, entre otras cuestiones, que sólo ha habido un caso en el que un cliente ha recibido una notificación sobre la transferencia realizada por otro cliente, siendo un caso aislado (en relación con ello, se indica que la argumentación de la AEPD para afirmar que este incidente podría extenderse a todos los clientes “carece del adecuado rigor científico”); que la razón por la que tuvo lugar esta incidencia se debió a una coincidencia extremadamente única e imprevisible “cuya probabilidad de concurrencia es prácticamente inexistente” (no siendo la obligación de adopción de medidas de seguridad una obligación de resultado, sino de medios); que las medidas desarrolladas no pueden considerarse como “meros parches” o que se han implementado aquellas medidas de seguridad adecuadas para que no se repita este suceso en el futuro.
La AEPD concluyó, entre otras cuestiones (por cuanto se ha anonimizado mucha información de la resolución que impide llevar a cabo un análisis más extenso), que la “afectación potencial del incidente” podía extenderse a “todos los clientes de CaixaBank”; que no se habían aplicado medidas de seguridad adecuadas al riesgo (se expone que existen “importantes carencias desde el punto de vista de medidas de seguridad en el momento en el que se produjo la brecha de datos personales”); que la brecha de datos no era imprevisible, sino que hubo una “una clara falta de previsión por parte de la entidad bancaria a la hora de diseñar su sistema” o que la entidad no reaccionó de manera adecuada tras tener noticia de la incidencia y que incluso entonces su solución fue “un mero parche”. En este sentido, se hace constar que las soluciones se han aplicado con ocasión de los requerimientos efectuados por la propia Agencia, de forma reactiva, pero no proactiva, como exige el Reglamento General de Protección de Datos.
Adicionalmente, se ha declarado por la AEPD que “CaixaBank no cuenta con un procedimiento adecuado para gestionar las reclamaciones de los interesados en materia de protección de datos”, teniendo implementado exclusivamente un procedimiento de reclamaciones de clientes en materia financiera, de seguros y de consumo que no es adecuado en materia de protección de datos.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.