Recientemente la AEPD ha resuelto sin sanción un caso de fuga de la información que se detectó en la empresa Wizink Bank, que pudo demostrar la adopción de las adecuadas políticas en protección de datos y ciberseguridad y la AEPD, al no apreciar negligencia por su parte, finalmente ha archivado el procedimiento sancionador iniciado contra esta entidad.
La brecha tuvo su origen porque una trabajadora saltándose la normativa interna, envió de forma deliberada un fichero que contenía 743 registros de clientes. A pesar de una objetiva violación de seguridad, la empresa probó que las medidas de seguridad implantadas previamente permitieron detectar el envío injustificado y realizar una detallada investigación. Gracias al sistema de registro y control de accesos se demostró que sólo la trabajadora en cuestión pudo realizar la acción desleal, razón por la cual, la empresa procedió a presentar denuncia penal por posible delito de revelación de secretos.
Asimismo, tras esta inmediata investigación la empresa, cumpliendo con sus obligaciones, notificó lo sucedido a la AEPD dentro del plazo legalmente establecido. En consecuencia, la AEPD valoró positivamente las medidas aplicadas por Wizink Bank y archivó el expediente sancionador al considerar que la empresa ha sido diligente y proporcional en su actuación con la normativa de protección de datos.
Este es un ejemplo de la importancia de tener implantados los procedimientos con las medidas preventivas, monitorizar y realizar periódicamente las auditorías de sistemas de seguridad que permitan una pronta detección de incidencias y, en su caso, cumplir con los plazos de notificación de la brechas de seguridad a la AEPD (antes de las 72 horas) y/o a los interesados, así como de disponer de protocolos de actuación en situaciones críticas, que permitan subsanar lo antes posible la brecha detectada.
Aunque en este caso, la brecha de seguridad procede de una conducta ilícita de la empleada, se debe tener en cuenta la importancia de la continua formación y concienciación de los empleados en materia de protección de datos y seguridad de la información que, en multitud de ocasiones es el eslabón más vulnerable del sistema de seguridad.
Desde Áudea, como expertos en la materia, estamos a vuestra disposición para ayudaros en la elaboración e implementación de procedimientos de seguridad que mejor se adecuen a vuestras necesidades y os permitan eludir las posibles sanciones de la AEPD. También realizamos diversos cursos formativos de privacidad y ciberseguridad, desde los básicos de concienciación hasta los de experto, para formar al personal de empresa a todos los niveles. Por eso, como siempre, os animamos a poneros en contacto con nosotros por cualquier duda o consulta en materia de protección de datos y seguridad de la información.
Karol Sedkowski
Equipo Legal