Se marchan de mi empresa dos trabajadores con datos personales de mis clientes

Se marchan de mi empresa dos trabajadores con datos personales de mis clientes

Un clásico: se marchan de mi empresa dos trabajadores con datos personales de mis clientes ¿qué hacer para evitar la fuerte sanción de la agencia española de protección de datos?

El pasado 26 de febrero de 2021 la AEPD publicó el procedimiento sancionador PS/00461/2020 sobre la brecha de seguridad de datos personales causada por dos exempleados de CaixaBank S.A.,  los cuales, al marcharse de su empresa, sustrajeron y divulgaron a terceros ajenos a la entidad datos personales de clientes.

En los procedimientos sancionadores de la AEPD relativos a brechas de seguridad de datos personales, es común que la AEPD investigue al responsable del tratamiento por carecer de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 del RGPD).

Sin embargo, en el Procedimiento no se menciona una posible infracción del artículo 32. De hecho, la AEPD califica las medidas de seguridad y actuación de CaixaBank como adecuadas:

[…] la entidad investigada tenía implementadas medidas de seguridad que, en principio, eran las adecuadas para garantizar que los datos personales no fueran accesibles por terceros y, como consta en los hechos, en cuanto el ataque fue detectado y confirmado por la entidad se adoptaron de manera inmediata una serie de medidas de seguridad adicionales con el fin de minimizar los riesgos y extremando las dificultades para el acceso y extracción de la información.

El Procedimiento acabó siendo archivado. 

¿Cuáles fueron los hechos?

La brecha de seguridad sufrida por CaixaBank fue causada por dos exempleados cuyo trabajo consistía en el asesoramiento a clientes sobre la administración de su patrimonio financiero.

Al marcharse de CaixaBank, entre los meses de junio y julio de 2019, los dos exempleados se enviaron a su cuenta personal de email datos de un total de 219 clientes, que presuntamente fue divulgada a terceros ajenos a la entidad. Entre estos datos personales de clientes se encontraban su DNI, información económico-financiera, información de posiciones, rentabilidades y variaciones patrimoniales anuales (la Brecha de Seguridad).

La Brecha de Seguridad se confirmó el 28 de octubre de 2019 a raíz de un informe de auditoría, tras detectar indicios de una posible divulgación ilícita a terceros de datos personales. El 17 de enero de 2020, CaixaBank notificó la Brecha de Seguridad a la AEPD.

¿Cuáles fueron las medidas de CaixaBank tras detectar la Brecha de Seguridad para minimizar su impacto?

  • El 4 de octubre de 2019, CaixaBank requirió a los dos exempleados a través de un burofax que no utilizaran o revelaran los datos personales sustraídos, exigiéndoles además la destrucción de dichos datos.
  • El 8 de octubre de 2019 CaixaBank también remitió un burofax a la actual empresa de los dos exempleados advirtiendo de los hechos con el fin de que la entidad tomara las medidas preventivas necesarias en relación con los datos personales de los clientes de CaixaBank.
  • El 17 de enero de 2020, CaixaBank notificó la Brecha de Seguridad de datos personales a la AEPD.
  • El 24 de enero de 2020, CaixaBank presentó una querella contra los exempleados ante los juzgados de instrucción de Madrid, dado que tales hechos podrían ser constitutivos de delito al afectar a la privacidad de los clientes, el secreto bancario y la protección de secretos comerciales.
  • El 4 de febrero CaixaBank alcanzó con los exempleados un acuerdo de confidencialidad y no concurrencia. En virtud de dicho acuerdo, los exempleados se comprometieron a no reproducir, publicar, difundir o comunicar a terceros los datos personales de los clientes de CaixaBank. Los exempleados también firmaron un Certificado de Destrucción en que se obligaron a destruir de forma inmediata todos los datos personales, en cualquier soporte, de los clientes de CaixaBank.
  • El 14 de febrero de 2020, se realizó una notificación adicional a la AEPD, informando de las medidas adoptadas al respecto por parte de CaixaBank como consecuencia de la Brecha de Seguridad. Por último, el 19 de marzo de 2020 CaixaBank comunicó a la AEPD el cierre de la Brecha de Seguridad.
  • Asimismo, como respuesta a la brecha de seguridad, CaixaBank inició un proceso para realizar la correspondiente evaluación de impacto.

En relación con la comunicación de la Brecha de Seguridad a los afectados, CaixaBank concluyó que no era necesario realizarla, al haber adoptado la entidad medidas apropiadas para evitar que la Brecha de Seguridad tuviera algún impacto en los derechos y libertades de los clientes afectados.

Medidas de seguridad implantadas con anterioridad a la detección de la Brecha de Seguridad

  • Normas internas: El Código de Ética al que están sujetos los empleados de CaixaBank recoge la obligación de confidencialidad. La norma interna 137 de la entidad describe la importancia del deber de confidencialidad de la información, el cual era de obligado cumplimiento y conocimiento por todos los empleados.
  • Formación: CaixaBank ofreció a sus empleados formaciones periódicas que debían superar por estar vinculadas a su retribución variable.
  •   Medidas de seguridad técnicas. El acceso de los empleados de CaixaBank a la base de datos de clientes, (si los clientes no eran de su oficina) estaba monitorizado. El sistema preguntaba al usuario la razón de la consulta de los datos, ofreciendo solo tres opciones. Tras seleccionar la razón, el sistema ofrecía un recordatorio al empleado indicándole que su consulta seria monitorizada en caso de incumplimiento del RGPD, a lo que el empleado debía confirmar que deseaba seguir adelante con la consulta.

Esta noticia es muy importante pues contiene un catálogo de medidas para evitar la sanción ante una brecha de seguridad como la analizada. Por tanto,  las empresas deben  replicar las medidas tomadas por CaixaBank antes y después de la detección de la Brecha de Seguridad, con el fin de mitigar el riesgo de una sanción por la AEPD en los casos de brechas de seguridad de datos personales causadas por un empleado al marcharse de su empresa.

Fte: RGPD Blog.

Si tiene alguna duda o problema en esta materia no dude en ponerse en contacto con nosotros. Queipo y Riego Abogados. Asturias- Madrid.