Ibermutua, sancionada con 600.000 euros por filtrar datos personales de más de 3.000 personas por error

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600.000 euros a Ibermutua, mutua colaboradora con la Seguridad Social, por compartir por error los datos personales de alrededor de 3.400 personas con más de 300 empresas y asesorías adscritas a la asociación. El error se produjo debido a un fallo en la programación del envío de datos adjuntos por correo electrónico, y fue notificado a la Agencia por la propia entidad.

Según consta en la resolución (cuyo contenido puede consultarse pinchando en el botón de descargar), la mutua recibió entre el 1 y el 10 de agosto de 2024 sendas reclamaciones externas por una posible infracción. En las mismas, varias compañías, beneficiarias de Ibermutua, denunciaban que habían recibido datos personales de personas ajenas, entre las que se incluían informaciones relativas a la salud, identificación o situación laboral de estas.

El problema, tal y como expresó entonces Ibermutua, se debió a «a raíz de una modificación en el notificador», pues «se añadió un comentario a una línea de código que hacía que se reseteara el envío adjunto del Excel en cada nueva notificación». Tal fallo, en consecuencia, originó que centenas de empresas recibieran información privada ajena a ellas y relativa a datos personales de miles de usuarios, quienes vieron vulnerado su derecho a la privacidad y a la protección de los datos personales, recogidos en el Reglamento General de Protección de Datos (RGPD).

Una vez reconocido su error ante la AEPD, Ibermutua informó de que ya habían puesto en marcha un protocolo para evitar futuras filtraciones, tales como corrección del error en el programa y establecimiento de pruebas exhaustivas para comprobar el correcto funcionamiento de cualquier cambio a futuro, restricción de archivos adjuntos para que el sistema no permita el envío de múltiples adjuntos en un solo correo, verificación del ID del archivo con el destinatario correspondiente o la realización de pruebas previas al envío de remesas de emails con una muestra.

Asimismo, se contactó con las 354 entidades receptoras de la información sensible para que procedieran a su eliminación. Un actuar que vino acompañado de un seguimiento de la confirmación por parte de dichas entidades de la eliminación de sus datos. Proceso que concluyó un mes después. Finalmente, se informó de las medidas que la entidad se comprometía a adoptar para que no volviese a tener lugar un incidente similar.

(Imagen: AEPD)

Ibermutua no garantizó una seguridad adecuada

Considerando que Ibermutua no garantizó una seguridad adecuada de los datos de sus contribuyentes, la Agencia Española de Protección de Datos ha decidido sancionarla con un millón de euros. Multa que finalmente ha quedado reducida a 600.000 euros porque la entidad ha reconocido su responsabilidad, mostrándose conforme con un pago voluntario de tal cantidad, lo que ha conllevado así a la renuncia expresa de cualquier acción o recurso en vía administrativa contra la penalización.

La sanción ha venido justificada por la comisión de una infracción del artículo 5.1 del RGPD, en cuyo apartado f) se establece que los datos personales «serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)».

Asimismo, la AEPD ha considerado que la entidad incurrió a su vez en una infracción recogida en los artículos 71 y 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los cuales recogen los principios básicos para el tratamiento de datos, incluidas las condiciones para el consentimiento, y cifran en un máximo de 20 millones de euros las posibles sanciones a interponer en caso de que se vulneren los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

Para determinar la cuantía de la sanción impuesta, la Agencia Española de Protección de Datos (AEPD) ha seguido los criterios establecidos en los artículos 83.1 y 83.2 del Reglamento General de Protección de Datos (RGPD). Estos preceptos exigen que las multas sean efectivas, proporcionadas y disuasorias, teniendo en cuenta factores como la gravedad y duración de la infracción, el número de afectados y el tipo de datos comprometidos. En este caso, la AEPD ha considerado especialmente la cantidad de personas afectadas, que asciende a 3.395, así como la naturaleza sensible de los datos expuestos.

Dada la trascendencia de la infracción y el incumplimiento del artículo 5.1.f) del RGPD, se ha establecido inicialmente una sanción de un millón de euros. No obstante, Ibermutua tenía la posibilidad de una reducción a 600.000 euros si reconocía su responsabilidad dentro del plazo de alegaciones o realizaba el pago voluntario de la sanción, lo que finalmente ha hecho

Además de la multa económica, la AEPD ha exigido la adopción de medidas correctivas para garantizar la seguridad de los datos personales y evitar futuras vulneraciones. En este sentido, Ibermutua deberá acreditar, en un plazo de tres meses, la implementación de mecanismos técnicos y organizativos adecuados para prevenir brechas de seguridad en sus comunicaciones. Entre las posibles medidas sugeridas se incluyen la limitación del número de archivos enviados, la aplicación de filtros que verifiquen la legitimidad de los destinatarios y la realización de pruebas previas a los envíos de información.