La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a GENERALI ESPAÑA, S.A. de Seguros y Reaseguros por graves deficiencias en materia de privacidad y protección de datos personales, derivadas de una importante brecha de seguridad en su sistema de mantenimiento de clientes. El ciberataque, detectado inicialmente el 5 de octubre de 2022, y confirmado el 11 de noviembre tras evidenciarse la venta de una base de datos en un grupo de Telegram, permitió el acceso no autorizado a datos de exclientes, entre ellos información identificativa, de contacto e incluso datos financieros (como el IBAN).
El análisis de la AEPD puso de manifiesto múltiples incumplimientos del Reglamento General de Protección de Datos (RGPD) por parte de Generali, entre los que se incluyen: la violación del principio de confidencialidad (artículo 5.1.f), la insuficiencia de las medidas de seguridad técnicas y organizativas adoptadas (artículo 32), la falta de protección de datos desde el diseño y por defecto (artículo 25) y la omisión de realizar la Evaluación de Impacto en la Protección de Datos (artículo 35). Por todo ello, la AEPD impone una sanción de 4 millones de euros.
Asimismo, requiere a GENERALI para que, en el plazo de tres meses, adopte medidas correctivas, entre las que destaca la realización de una Evaluación de Impacto que garantice la adecuada protección de los datos personales y evite la repetición de hechos similares en el futuro.
Por otro lado, la AEPD sanciona a ING Bank N.V., Sucursal en España por vulnerar lo dispuesto en el artículo 6.1 del RGPD.
En este caso, la controversia se centra en el proceso digital de contratación de cuentas bancarias de la entidad, donde se obligaba a los clientes a aceptar -sin una opción real de declinar- que ING verifique ciertos datos laborales a través de la Tesorería General de la Seguridad Social. Esta imposición de un “consentimiento” no libre, ni específico, al ser indispensable para continuar con la contratación, vulneraba el derecho de los clientes a disponer y controlar sus datos personales.
La resolución constató que tal práctica contravenía los principios de consentimiento libre e informado y, en consecuencia, tipificó la infracción en el artículo 83.5 del RGPD. Se impuso una multa de 1.600.000 € y se ordenó a la entidad que, en el plazo de seis meses, adecuase sus procedimientos para garantizar el cumplimiento de la normativa en materia de protección de datos.
Esta medida enfatiza la importancia de que el consentimiento del interesado sea verdaderamente libre y que los responsables del tratamiento adopten métodos acordes con lo previsto en la legislación europea.