La AEPD ha sancionado a una conocida entidad bancaria por no establecer medidas de seguridad adecuadas

La entidad bancaria facilitaba el detalle de los últimos movimientos de una tarjeta mediante un sistema de atención telefónica. Éste proceso estaba automatizado, y en él se pedía exclusivamente como dato identificativo el DNI del cliente. El banco no adoptó ninguna otra medida de seguridad para confirmar la identidad del cliente. La falta de medidas de seguridad podría conllevar claramente que se suplante la identidad de cualquier persona con el simple hecho de conocer el DNI.

El Reglamento General de Protección de Datos obliga a la adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Esta obligación recae a cualquier responsable que trate datos personales. El RGPD no establece un listado cerrado de medidas de seguridad; sino que deben ser las propias entidades las que decidan que medidas son adecuadas en función del riesgo existente. Para la evaluación del nivel de seguridad se debe tener en cuenta los riesgos del tratamiento. Éstos pueden conllevar la destrucción, pérdida, alteración de los datos, así como la comunicación o acceso no autorizado de dichos datos. La omisión de medidas técnicas y organizativas en el caso analizado por la AEPD; conllevaría la posibilidad de que cualquiera pudiera acceder al detalle de los movimientos de la tarjeta con el simple hecho de conocer el DNI.

Efectivamente, la Agencia considera que el banco no adopta medidas de seguridad adecuadas, “ya que cualquier persona utilizando el sistema de atención telefónica automatizado podría dar un número de DNi siendo o no titular del mismo y obtener información asociada a ese DNI”.

La Agencia hizo una propuesta de sanción de 200.000 euros. No obstante, la entidad reconoce su responsabilidad y se acoge a la posibilidad de efectuar el pago voluntario de la sanción, quedando definitivamente la sanción en 120.000 euros.

Observatorio Autelsi

Suscribete a nuestraNewsletter

Únete a nuetsra lista de mailing y recibe las últimas noticias en privacidad y derechos digitales.

Gracias hemos recibido su mail correctamente