Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada  (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

  • Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
  • Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.

1 comentario

Trackbacks y pingbacks

  1. […] Un fallo de seguridad en el acceso a la banca on-line de ING le supone una sanción de 6.000 euros por parte de la Agencia Española de Protección de Datos | Eurovima Consulting | Asesoría LOPD Madrid (#LOPD #privacidad Sancion #AEPD a ING…  […]

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *