La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una entidad financiera, imponiéndole una sanción de 300.000 € por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (en adelante, “RGPD”).
La resolución parte de una brecha de seguridad notificada por un encargado del tratamiento el 30 de agosto de 2023, que afectó datos personales gestionados para dicha entidad. La AEPD entendió que, como responsable del tratamiento, debía responder por no haber garantizado que el encargado ofreciera las garantías requeridas.
La entidad alegó que el tratamiento fue realizado por un proveedor con contrato que incluía cláusulas de protección y que había colaborado con la investigación. No obstante, la AEPD consideró que las garantías no fueron suficientes, que la supervisión fue deficiente y que no se justificó que las medidas adoptadas previnieran adecuadamente el acceso no autorizado.
La AEPD fundamenta la sanción en los siguientes extremos:
- Infracción del principio de integridad y confidencialidad (art. 5.1.f RGPD): los datos personales fueron objeto de acceso indebido por terceros no autorizados.
- Responsabilidad del responsable frente a las acciones de su encargado (art. 28 RGPD): aunque hubiera un encargado, se considera que la entidad no supervisó suficientemente ni exigió medidas técnicas y organizativas eficaces.
- Criterios de graduación aplicados (art. 83 RGPD): la AEPD valora la gravedad del incidente, el número de afectados, duración de la brecha, nivel de cooperación de la entidad y su volumen de negocio. La resolución recoge que la entidad se acogió a la reducción de la sanción por pago voluntario y reconocimiento de responsabilidad, extinguiendo así el procedimiento sancionador.
Por todo lo anterior, la AEPD impone a la entidad una sanción de 300.000 € por infracción del artículo 5.1.f) del RGPD, quedando reducida a 180.000 € en aplicación de los beneficios previstos para el pago voluntario y el reconocimiento de responsabilidad.
