AXA, multada con 100.000 euros por enviar por mensajería postal un USB que fue sustraído con datos de 143 personas

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 100.000 euros a la empresa AXA Real Estate Investment Managers Iberica S.A. (AXA REIM), filial del Grupo AXA, por una brecha de confidencialidad en los datos de sus clientes.

La empresa envió por mensajería postal, en un sobre, un USB con datos sensibles de 143 personas, y a pesar de que el USB estaba cifrado, la contraseña para desbloquear el dispositivo iba también dentro del sobre. El envió vino devuelto, pero sin el USB ni la contraseña dentro.

LA AEPD (en una resolución disponible en el botón ‘descargar resolución’) ha impuesto la multa económica a la sociedad al razonar que los hechos constituyen una vulneración de la normativa de protección de datos, ya que no se adoptaron las medidas necesarias para garantizar la confidencialidad y seguridad de la información al haber incluido en el mismo sobre en el que iba el soporte cifrado la clave para descifrarlo.

(Imagen: E&J)

El USB y la contraseña para desbloquearlo fueron sustraídos

La empresa sancionada es una sociedad anónima española filial del Grupo AXA, que tiene 23 empleados y un volumen de ventas de más de siete millones de euros, y cuya actividad está dedicada a la gestión y administración de la propiedad inmobiliaria.

La Subdirección General de Inspección de Datos realizó una investigación para esclarecer los hechos de los que tuvo conocimiento a raíz de que la propia empresa notificara a la División de Innovación Tecnológica de la AEPD una brecha de seguridad de datos.

El 11 de mayo de 2023, Axa, a través de SEUR Geopost S.L.U (otra matriz del grupo), remitió por mensajería postal, en un sobre, un USB con datos de 143 personas, incluidos medios de pago.

Aunque el procedimiento habitual dentro de la compañía para la transferencia de información es vía electrónica —evitando así en la medida de lo posible el envío a través de soportes físicos— en este caso concreto, y por requerimiento de la aseguradora a la que debía enviar los datos, fue necesario realizar de manera puntual y aislada el envío de la información por mensajería postal.

El dispositivo estaba cifrado pero la contraseña iba dentro del mismo sobre. El problema llegó cuando el sobre vino devuelto, pero sin el USB ni la contraseña.

(Imagen: E&J)

El soporte cifrada y su clave debían enviarse por separado

La AEPD ha considerado que los hechos evidencian una falta de medidas por incluir la contraseña de descifrado en el interior del mismo sobre en el que iba el dispositivo; y por consiguiente, la empresa es responsable de no haber adoptado las medidas necesarias para garantizar un nivel de seguridad adecuado al riesgo, con el fin de mantener la confidencialidad de los datos.

Pues, el procedimiento interno de seguridad de la información implementado por la empresa establece que cuando se transfieran físicamente datos secretos o confidenciales en soportes físicos, estos deben cifrarse o ser sometidos a estrictos controles físicos y enviarse los soportes cifrados por separado de las claves del descifrado.

Por lo tanto, dado que AXA vulneró el artículo 32 del RGPD al incumplir con la obligación de implementar medidas técnicas y organizativas de seguridad apropiadas para garantizar un nivel de seguridad adecuada al incluir la clave de acceso al USB en el mismo sobre, la AEPD le ha impuesto una multa de 100.000 euros.