Once empleados tenían acceso a las grabaciones de los servicios de videovigilancia de las oficinas, locales y sedes de Unicaja Banca. Sin embargo, todos accedían con el mismo usuario. Lo que impedía identificar quien consultaba las imágenes.
Una práctica que la Agencia Española de Protección de Datos (AEPD) considera incompatible con las exigencias de seguridad del Reglamento General de Protección de Datos (RGPD.
Por ello, ha sancionado a Unicaja por graves deficiencias en el control de acceso a su sistema de videovigilancia, tras constatar que los empleados de su central receptora de alarmas accedían a imágenes sensibles mediante un único usuario genérico compartido, sin trazabilidad individual.
En su expediente sancionar nºEXP202404507, la AEPD recuerda que la externalización no exonera al responsable del tratamiento, que debe verificar la implantación real y continuada de las medidas técnicas y organizativas, especialmente en tratamientos de alto impacto como la videovigilancia bancaria.
El caso pone el foco en la responsabilidad efectiva del responsable del tratamiento frente a sus proveedores
En enero de 2023, Unicaja confió en la entidad de seguridad privada Grupo Control Empresa de Seguridad las funciones de la Central Receptora de Alarmas (CRA), además de funciones de seguridad privada, como el procesamiento, análisis, gestión y custodia de imágenes captadas por los sistemas de videovigilancia de las oficinas, locales y edificios de Unicaja Banca.
Para ello, se incorporaron 11 trabajadores de la empresa Grupo Control a la estructura de la entidad bancaria. Y, estos profesionales, accedían a dichas grabaciones compartiendo perfil de usuario.
Los servicios de inspección de la AEPD consultaron a UNICAJA si cada una de estas personas tiene un usuario y clave propios para el acceso al Sistema de Videovigilancia o si acceden con un usuario genérico del Sistema.
En su respuesta, la entidad bancaria manifestó que el ‘software’ de soporte al sistema de videovigilancia establece un único usuario y contraseña, a través del cual accede el personal designado por Grupo Control, conforme a las atribuciones que el proveedor confería a cada empleado.
La entidad bancaria alegó en su defensa que el responsable del tratamiento era Grupo Control, ya que era la empresa que gestionaba las grabaciones y que ellos sí dieron las instrucciones de como proceder.
Externalizar no exime de responsabilidad
Sin embargo, la AEPD recuerda que en este marco de la relación contractual entre ambas partes, la titularidad de los sistemas de videovigilancia es de Unicaja, y Grupo Control le presta el servicio de videovigilancia a través de la CRA de la compañía.
La externalización del servicio no exime a la entidad principal de los fallos al encargado si no se verifica el cumplimiento real o no se implementan controles efectivos. El Reglamento General de Protección de Datos (RGPD) impone una responsabilidad activa (‘accountability’), no solo formal.
«Unicaja es la responsable del tratamiento, es el garante final de que los datos se traten de forma segura. Delegar la ejecución no exime de la responsabilidad de verificar el cumplimiento. La falta de implementación de controles de acceso lógico efectivos es responsabilidad última de la entidad bancaria», señala la AEPD.
Tras la investigación por la autoridad se detectan que existían protocolos de actuación y tratamiento en la práctica, pero en la práctica no se producían, constatando que los 11 trabajadores de Grupo Control accedían al sistema con el mismo usuario.
Al ser una clave genérico, no había trazabilidad real (es decir, qué personas habían accedido a esa información sensible en un momento determinado). Además de que estos profesionales no tenían ninguna instrucción concreta sobre cómo gestionar solicitudes de visionado de imágenes.
«La investigación constata la ausencia de las medidas técnicas y organizativas mínimas exigidas por el propio contrato y por la debida gestión de riesgos de datos sensibles que impone la normativa. La falta de trazabilidad intrínseca al usuario genérico es, per se, una medida inadecuada al riesgo, contraviniendo directamente el artículo 32 del RGPD», dictamina la AEPD en su resolución.
De este modo, la autoridad sanciona al banco con una multa de 500.000 euros, que se ve reducida a 400.000 euros al reconocer la responsabilidad y hacer el pago voluntario, por una vulneración del artículo 32 del RGPD.
