La Agencia Española de Protección de Datos habría sancionado a una importante entidad bancaria de carácter nacional por vulnerar la confidencialidad de los datos de un cliente y por no adoptar las medidas de seguridad necesarias para prevenir dicha brecha. La entidad bancaria facilitó a la parte reclamante a través de la app del banco un contrato en el que figuraban datos de un tercero, en lugar del certificado de titularidad que había solicitado.

Esta actuación por parte del banco constituye una vulneración del principio de integridad y confidencialidad recogido en el artículo 5.1.f) del RGPD, la cual, a efectos de decidir sobre la cuantía de la infracción, se vio agravada por la falta de adopción de medidas apropiadas por parte del banco para evitar la exposición de datos personales a terceros no autorizados.

En todo caso, ha quedado constancia que en el momento de producirse la brecha de seguridad, la entidad no contaba con las medidas adecuadas, técnicas y organizativas, recogidas en el artículo 32 del RGPD, para impedir que se diera la circunstancia ya descrita, la cual se prolongó por un plazo de casi 4 meses.

Finalmente, la Agencia habría impuesto una sanción de 80.000 euros al banco, por infracción del artículo 5.1.f) y 32 del RGPD, la cual, tras la aplicación de reducciones, resultó en una cuantía final de 48.000 euros.

Es relevante destacar que la Agencia ha centrado el motivo de la sanción en la falta de adopción de medidas apropiadas. No obstante, como el propio TS ya dictaminó la implementación de medidas es una obligación de medios y no de resultados. En base a lo anterior… ¿qué medidas puede adoptar una empresa como responsable del tratamiento para evitar que se produzcan errores humanos?

Puedes consultar la resolución completa haciendo clic aquí.

Suscríbete a nuestra Newsletter

¡Únete a nuestra lista de contactos y recibe las últimas noticias de Privacidad, Derechos digitales y Ciberseguridad!

¡Gracias! Hemos recibido su mail correctamente