Cinco millones de multa a CaixaBank por mostrar a terceros los datos de las transferencias de otros clientes

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de cinco millones de euros a CaixaBank por una brecha de seguridad que permitió que sus clientes pudieran ver datos sobre transferencias realizadas por otros con los que no tenían ninguna relación. Se trata de una de las sanciones más cuantiosas impuestas por el regulador de privacidad, pero llega tras un proceso de tres años lleno de reproches con la entidad y con una resolución oficial anonimizada al extremo, lo que impide extraer más detalles sobre la brecha o las medidas tomadas por el banco.

La principal queja de CaixaBank es que la AEPD le imponga esa multa tras haber podido contrastar un solo caso en el que un cliente recibió una notificación sobre la transferencia que había hecho otro. Fue esta persona la que presentó la reclamación, tras ver en su perfil de usuario un documento “relativo a una transferencia realizada por un tercero a otra persona desconocida (en el que figuran numerosos datos personales, tales como DNI, domicilio postal, número de cuenta bancaria, etc.)”.

El organismo comprobó la veracidad de la reclamación y llevó a cabo una serie de pruebas por las que concluyó que la “afectación potencial del incidente” podía extenderse a “todos los clientes de CaixaBank”. La entidad niega este extremo, denuncia que la AEPD se basa en “meras conjeturas” y que su informe “carece del adecuado rigor científico”. La argumentación de los inspectores de la AEPD para calcular los clientes que pudieron quedar afectados por la brecha ha sido eliminada de la resolución.

El regulador de privacidad asevera por su parte que CaixaBank no reaccionó de manera adecuada para corregir la brecha tras tener constancia de ella y que incluso entonces su solución fue “un mero parche”. La resolución señala a su vez que la entidad “no tenía unas medidas de seguridad adecuadas al riesgo en los derechos y libertades de los interesados, aunque no hubiera habido brecha de datos personales”.

“La parte reclamada ha ido solventando algunas cuestiones relacionadas con su incumplimiento a razón del traslado, requerimiento o práctica de prueba por parte de la AEPD, de forma reactiva y no proactiva, mas no todo y ni completamente”, abunda el organismo. Estas medidas estuvieron encaminadas a reducir los “riesgos en la organización” y no a proteger a sus clientes, le reprende.

La AEPD contesta además a los reproches de la entidad sobre la falta de profesionalidad de la investigación asegurando que le ha explicado con “claridad meridiana cuáles han sido los incumplimientos” en los que ha incurrido. También destaca que, pese a que en un primer momento CaixaBank aseguró que el riesgo para los clientes “era cero”, luego procedió a tomar medidas para tapar el agujero: “Tendrán que explicar el porqué de las modificaciones posteriores”, ironiza.

Por todo ello, el regulador achaca a la entidad violaciones de tres artículos del Reglamento General de Protección de Datos (RGPD) y le impone un total de cinco millones de multa. “CaixaBank ha infringido el RGPD, no ha adoptado, a lo largo del procedimiento sancionador, todas las medidas necesarias para cumplir con la legalidad vigente y le corresponde a la Agencia conforme a los poderes que tiene conferidos imponer medidas correctivas”, zanja la resolución.

Fuentes de CaixaBank aseguran a elDiario.es que “la sanción es desproporcionada” y van a recurrirla ante la Audiencia Nacional. En un comunicado enviado a este medio, la entidad explica que el motivo por el que la persona que reclamó ante la AEPD pudo ver los datos de la transferencia de otro cliente es que “se hicieron dos operaciones por dos clientes en el mismo milisegundo”. Uno recibió el justificante del otro.

“Esta coincidencia generó una situación inédita depositándose el justificante en un buzón que no correspondía”, asegura CaixaBank: “Se trata de una situación excepcional y que actualmente no podría reproducirse”.