Medio millón de euros de multa a ING por perder datos confidenciales de un cliente y no saber cómo encontrarlos
Recoger la documentación bancaria y el DNI en el domicilio del cliente, perderlos por el camino y no darse cuenta hasta que el usuario protesta. Y cuando protesta, pasarse medio año preguntando a la empresa de mensajería equivocada. La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 500.000 euros a ING tras confirmar que la entidad carecía de medidas básicas para rastrear la documentación sensible que mueve fuera de sus oficinas.
Todo comenzó con una solicitud para darse de alta como cotitular en la cuenta de su pareja. Siguiendo instrucciones del banco, una empresa de mensajería recogió en el domicilio de un cliente un sobre con los datos para llevar a cabo el trámite. La documentación nunca llegó a los sistemas de ING.
En el paquete se encontraban copias del DNI por ambas caras, datos financieros como el número de cuenta bancaria, su domicilio, dirección de correo electrónico, número de teléfono móvil, información sobre su vida laboral, así como su firma original.
Datos que aunque ING argumentó que no son “sensibles” (categoría en la que entran aquellos referentes a la ideología, creencias religiosas u orientación sexual), la AEPD recalca que el hecho de perderlos todos juntos lo convierte en “especialmente” peligroso. Contar con esa información permite a un delincuente “construir un perfil completo y detallado” de la víctima para cometer abusos, ya que “conlleva un elevado riesgo de suplantación de identidad, daños patrimoniales o afectación al derecho al honor”, recalca en su resolución.
Con todo, lo que ha motivado la contundencia de la sanción no es el extravío en sí, sino el caos administrativo que lo siguió. A pesar de que el cliente alertó de la situación al banco hasta en cuatro ocasiones durante el mes siguiente a enviar la documentación, ING se limitó a abrir incidencias internas sin investigar a fondo qué había sucedido con sus datos, instándole a que la enviara de nuevo.
Según consta en la resolución, los avisos del afectado provocaron que el banco se pusiera en contacto repetidamente con su proveedor logístico habitual, la empresa Sending, para localizar el envío. El problema es que, para ese porte específico, se había contratado a otra compañía distinta, Dynamic. Fue el propio cliente el que avisó de ello en sus alertas al banco, suministrando tanto el nombre de la empresa que había recogido el paquete como incluso el del mensajero que se lo había llevado.
Pese a los avisos del afectado, ING no contactó a la empresa correcta durante más de siete meses. Tampoco lo consideró como una posible brecha de seguridad que podría causar daños al cliente. Cuando lo hizo, fue debido a que la AEPD ya se había puesto en contacto con la entidad para recabar información sobre lo sucedido después de que el cliente presentara una reclamación oficial.
“Error humano” frente a fallo sistémico
En sus alegaciones ante el regulador, la entidad intentó justificar el incidente como una anécdota estadística. ING expuso que el extravío afectaba a un porcentaje insignificante de su operativa (un “0,0029% del total de recogidas y envíos”), por lo que atribuyó lo sucedido a un “error humano puntual” de la empresa de transporte, defendiendo que el banco no podía ser responsable de un fallo del mensajero.
La AEPD no ha aceptado esta versión. El regulador de la privacidad subraya que el banco, como responsable de los datos cedidos por el cliente, debe vigilar en todo momento qué ocurre con ellos. Si en el proceso de tratamiento subcontrata a un tercero, debe vigilar qué hace esa empresa con la información en todos los pasos del proceso. “Al responsable le corresponde verificar que las medidas implementadas por el encargado siguiendo sus instrucciones funcionan, aun cuando ING asegure que los protocolos y procedimientos definidos por la red de mensajería son 'responsabilidad exclusiva' de dichas empresas”, zanja.
Más grave aún para el organismo regulador es la ausencia de mecanismos de alerta. El contrato firmado entre el banco y la paquetera no incluía herramientas para localizar un envío en un momento dado. “ING carecía de mecanismos de alerta temprana que permitieran detectar posibles brechas de datos personales”, destaca la resolución, señalando que el banco solo tuvo conocimiento del fallo “a través del propio afectado” y “no supo identificar al encargado al que encomendó la recogida de la documentación”.
Si el sobre está cerrado
En sus últimas alegaciones, ING argumentó que “la documentación se encontraba en un sobre cerrado”. Por ello, justifica que no hay constancia de que su contenido haya caído en manos de terceros y, por tanto, confirmación de la existencia de la brecha de seguridad.
Este argumento tampoco ha servido para esquivar la sanción. La AEPD recuerda que la pérdida de control sobre datos críticos como una fotocopia completa del DNI junto a un número de cuenta bancaria genera un riesgo severo para el ciudadano, independientemente de si se confirma o no el acceso indebido. “La combinación de este tipo de datos personales eleva significativamente el nivel de riesgo”, recuerda el regulador.
Estos motivos han derivado en una infracción grave de las leyes de privacidad por falta de medidas de seguridad adecuadas. La sanción original de medio millón de euros se ha visto reducida finalmente a 400.000 euros, dado que ING ha optado por reconocer su responsabilidad y abonar la multa voluntariamente, renunciando a litigar en los tribunales, lo que le permite acogerse a una reducción del 20%.
“Respetamos y acatamos la resolución de la AEPD, con quien colaboramos activamente en línea con nuestros compromisos con la protección de los datos de nuestros clientes”, ha expresado una portavoz de la entidad en un comunicado enviado a elDiario.es. “Se trató de un caso puntual y excepcional derivado de la pérdida de documentación por parte de una empresa de mensajería. No obstante, hemos revisado y reforzado nuestros procesos con este tipo de proveedores para garantizar el cumplimiento de los más altos estándares de seguridad y privacidad”, concluye.
12