La seguridad en la empresa: una obligación de medios y no de resultado
La Agencia Española de Protección de Datos ha sancionado recientemente a BANKINTER con una multa 80.000 euros por un error informático que causó el acceso indebido a los movimientos bancarios de uno de sus clientes.
La denuncia fue interpuesta por un cliente de la entidad que, tras conectarse al portal online de la entidad para revisar sus movimientos bancarios, se dio cuenta de que podía ver los movimientos de otra cuenta de la que no era titular. Si bien trasladó hasta en dos ocasiones a Bankinter estos hechos, la entidad bancaria no tomó medidas hasta que recibió el traslado de la reclamación por parte de la AEPD.
Esta cuantiosa sanción, que fue reducida por pago voluntario (inicialmente la AEPD propuso una multa de 100.000 euros), pone de manifiesto la necesidad de implementar las medidas técnicas necesarias para garantizar la confidencialidad de los datos, así como establecer protocolos para la corrección y vigilancia de estas medidas.
La entidad financiera alegó que la incidencia fue provocada por un error a la hora de gestionar el cambio de titularidad de una cuenta de la que el denunciante fue cotitular. Si bien Bankinter ha defendido que cuenta con códigos, políticas y procedimientos dirigidos a garantizar la protección de los datos, la AEPD pone de manifiesto que dicha protección no se ha garantizado, pues las medidas técnicas y organizativas implantadas permitieron la visualización de los movimientos bancarios de un cliente por parte de un tercero, vulnerando el principio de confidencialidad.
Esta resolución coincide con la jurisprudencia más reciente del Tribunal Supremo, que afirma que garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, sino de medios. Es decir, que la responsabilidad de las empresas no deriva directamente de la filtración de los datos personales con independencia de las medidas adoptadas, sino de la aplicación de medidas insuficientes. Para cumplir la obligación de medios, establece este Tribunal, “basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable”, siendo necesaria su correcta implantación y su utilización de forma apropiada.
En definitiva, la responsabilidad del Bankinter viene determinada por el incidente de seguridad descrito, ya que no implementó medidas apropiadas para garantizar un nivel de seguridad adecuado e impedir el acceso a los datos por parte de un tercero, aun conociendo los hechos que causaron la brecha en la seguridad que ha motivado la sanción.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.