Ante esta vulneración de la protección de datos, AXA ha cambiado su proveedor de servicios de mensajería, ahora confiado a Correos. Foto: Confilegal

100.000 euros de sanción a AXA por enviar un sobre con un USB con datos sensibles junto a su contraseña

7 / 07 / 2024 06:30

La Agencia Española de Protección de Datos (AEPD) ha abierto un expediente sancionador contra la compañía AXA Real Estate Investment Managers Iberica S.A. debido a una vulneración de la protección de datos.

Ello, debido a las acciones de la compañía, que decidió enviar los datos sensibles y personales de hasta  143 personas por correo a través de la empresa SEUR. Unos hechos que se llevaron a cabo el 11 de mayo de 2023, y que provocaron una brecha de seguridad que se conocía el 24 de ese mismo mes.

“AXA remitió por mensajería postal, en un sobre, un USB con datos de 143 personas, incluidos medios de pago. El USB estaba cifrado, pero la contraseña iba dentro del sobre”, explica la AEPD en su informe de sanción.

Un sobre que finalmente fue devuelto. Eso sí, “sin el  USB ni la contraseña” en su interior. Algo que encendía todas las alarmas de seguridad. Y que mostraba la falta de medidas de protección de estos datos por parte de AXA.

AXA asegura tener un fuerte sistema de protección interno

“AXA cuenta con un procedimiento de seguridad de la información implementado a nivel compañía”, aseguraba la empresa ante este suceso. Un procedimiento en el que se busca, según la compañía, la transferencia segura de archivos.

Un sistema en el que es habitual hacer la transferencia “vía electrónica, evitándose en la medida de lo posible el envío a través de soportes físicos”. Algo ante lo que se hizo una excepción, bajo el requerimiento de la aseguradora Acquinex. Y  para lo que la empresa contó con el servicio de mensajería SEUR.

“Todos los empleados recibieron una formación inicial sobre seguridad de la información, y anualmente desde entonces”, defiende la compañía. Y, del mismo modo, se catalogó como “riesgo bajo” el envío a través de SEUR. 

Sin embargo, los datos acabaron “extraviándose”, iniciando AXA un protocolo de seguridad y vigilancia para los datos contenidos en el USB. Algo que, sin embargo, no ha evitado la sanción por parte de la AEPD. 

En concreto, una sanción de 100.000 euros, debido a la vulneración del artículo 32del RGPD, “respecto a la seguridad del tratamiento de los datos personales”. Una cifra que finalmente se reducía a los 80.000 euros debido al pago voluntario de la compañía de esta cantidad. Pero que, sin embargo, dejaba fuera de la ecuación el reconocimiento de la responsabilidad por parte de la empresa.

Sin datos de SEUR

Una sanción a AXA debido a la ruptura de la protección de datos de estas más de 100 personas que, sin embargo, sigue dejando muchos interrogantes.

“Falta saber qué ocurrió con el proveedor, la empresa de mensajería. Si era encargada o responsable, en relación con sus obligaciones de confidencialidad y medidas de seguridad implantadas”, explica el abogado experto en protección de datos Gerard Espuga Torné.

Una realidad ante la que, sin embargo, el documento publicado por la AEPD sí muestra la decisión de AXA de romper su colaboración con SEUR. Y, como resultado, utilizar como nuevo proveedor de los servicios de mensajería a la nacional Correos.

Noticias relacionadas:

Europa avala que se publique el nombre de los deportistas «cazados» dando positivo en dopaje

Los pacientes no pueden conocer la identidad de los médicos que acceden a su historial clínico, según el TS

Calama pone coto a la UDEF tras la filtración de los WhatsApp de Zapatero: «ni un dato personal de más» en los informes

Crear una imagen de una chica desnuda con IA es un tratamiento de los datos personales, según la AEPD

Opinión | La obligación del acreedor de eliminar los datos de la CIRBE tras la exoneración del pasivo insatisfecho

Opinión | La IA en manos de la AEAT y sus consecuencias para el ciudadano

Lo último en Tribunales

Leire Díez y Boye

El coronel de la Guardia Civil purgado por investigar el ‘lazo’ Puigdemont-Putin se persona contra Leire Díez

CRistóbal Montoro

Caso Equipo Económico: ocho años de instrucción, secreto del sumario prorrogado 83 veces y un informe de la UCO oculto que exculpaba al despacho

Cuatro claves para entender la reforma de la Ley de Segunda Oportunidad

Arriaga Asociados logra la exoneración máxima de una deuda con la Seguridad Social bajo la Ley de Segunda Oportunidad

Un camionero llega hasta el Supremo para recurrir su despido por dar positivo en THC mientras conducía, y pierde

Un camionero, despedido estando de baja médica por vértigos: le sorprendieron con su coche y de ruta con la bici

Junta electoral central

Cuatro vocales de la Junta Electoral Central acusan a la mayoría de inacción ante el crecimiento del censo por la «ley de nietos»