Open Bank, sancionado con 2,5 millones de euros por su gestión de los datos personales

La Agencia Española de Protección de Datos ha sancionado a Open Bank con 2,5 millones de euros por infringir los artículos 25 y 32 del Reglamento General de Protección de Datos.

De momento, se desconocen las acciones exactas que han tenido esta sanción como consecuencia, pues el expediente aún no figura en el listado de resoluciones públicas. Economist & Jurist ha contactado tanto con Open Bank como con la Agencia Española de Protección de Datos aunque no se ha recibido respuesta.

El artículo 25 del RGPD indica que “el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”. Este artículo añade que se deben tomar las medidas para que solo sean objeto de tratamiento aquellos datos necesarios para el fin específico del mismo y que solo sean accesibles a un número de personas determinado.

Por su parte, el siguiente artículo que habría sido infringido, relativo a la seguridad en el tratamiento de los datos, indica que se “aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

Según dispone el artículo 83.4 de Reglamento, las infracciones de estas disposiciones se sancionarán con multas administrativas de hasta 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Las resoluciones de la AEPD son recurribles ante la Sala de lo contencioso de la Audiencia Nacional. Dado que el montante de la sanción es superior al millón de euros y que el afectado es una persona jurídica, el anuncio de la infracción se ha hecho en el Boletín Oficial del Estado.