100.000 euros de sanción a AXA por enviar un sobre con un USB con datos sensibles junto a su contraseña
Ante esta vulneración de la protección de datos, AXA ha cambiado su proveedor de servicios de mensajería, ahora confiado a Correos. Foto: Confilegal

100.000 euros de sanción a AXA por enviar un sobre con un USB con datos sensibles junto a su contraseña

|
07/7/2024 06:30
|
Actualizado: 06/7/2024 21:17
|

La Agencia Española de Protección de Datos (AEPD) ha abierto un expediente sancionador contra la compañía AXA Real Estate Investment Managers Iberica S.A. debido a una vulneración de la protección de datos.

Ello, debido a las acciones de la compañía, que decidió enviar los datos sensibles y personales de hasta  143 personas por correo a través de la empresa SEUR. Unos hechos que se llevaron a cabo el 11 de mayo de 2023, y que provocaron una brecha de seguridad que se conocía el 24 de ese mismo mes.

“AXA remitió por mensajería postal, en un sobre, un USB con datos de 143 personas, incluidos medios de pago. El USB estaba cifrado, pero la contraseña iba dentro del sobre”, explica la AEPD en su informe de sanción.

Un sobre que finalmente fue devuelto. Eso sí, “sin el  USB ni la contraseña” en su interior. Algo que encendía todas las alarmas de seguridad. Y que mostraba la falta de medidas de protección de estos datos por parte de AXA.

AXA asegura tener un fuerte sistema de protección interno

“AXA cuenta con un procedimiento de seguridad de la información implementado a nivel compañía”, aseguraba la empresa ante este suceso. Un procedimiento en el que se busca, según la compañía, la transferencia segura de archivos.

Un sistema en el que es habitual hacer la transferencia “vía electrónica, evitándose en la medida de lo posible el envío a través de soportes físicos”. Algo ante lo que se hizo una excepción, bajo el requerimiento de la aseguradora Acquinex. Y  para lo que la empresa contó con el servicio de mensajería SEUR.

“Todos los empleados recibieron una formación inicial sobre seguridad de la información, y anualmente desde entonces”, defiende la compañía. Y, del mismo modo, se catalogó como “riesgo bajo” el envío a través de SEUR. 

Sin embargo, los datos acabaron “extraviándose”, iniciando AXA un protocolo de seguridad y vigilancia para los datos contenidos en el USB. Algo que, sin embargo, no ha evitado la sanción por parte de la AEPD. 

En concreto, una sanción de 100.000 euros, debido a la vulneración del artículo 32del RGPD, “respecto a la seguridad del tratamiento de los datos personales”. Una cifra que finalmente se reducía a los 80.000 euros debido al pago voluntario de la compañía de esta cantidad. Pero que, sin embargo, dejaba fuera de la ecuación el reconocimiento de la responsabilidad por parte de la empresa.

Sin datos de SEUR

Una sanción a AXA debido a la ruptura de la protección de datos de estas más de 100 personas que, sin embargo, sigue dejando muchos interrogantes.

“Falta saber qué ocurrió con el proveedor, la empresa de mensajería. Si era encargada o responsable, en relación con sus obligaciones de confidencialidad y medidas de seguridad implantadas”, explica el abogado experto en protección de datos Gerard Espuga Torné.

Una realidad ante la que, sin embargo, el documento publicado por la AEPD sí muestra la decisión de AXA de romper su colaboración con SEUR. Y, como resultado, utilizar como nuevo proveedor de los servicios de mensajería a la nacional Correos.

Noticias Relacionadas:
Lo último en Tribunales