Este post proviene de esta fuente de noticias
No adoptar medidas que puedan poner en riesgo los datos personales tiene un precio. La AEPD ha sancionado a una conocida entidad bancaria por no establecer medidas de seguridad adecuadas. La entidad bancaria facilitaba el detalle de los últimos movimientos de una tarjeta mediante un sistema de atención telefónica automatizado en el que exclusivamente se pide como dato identificativo el DNI del cliente. El banco no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente. La falta de medidas de seguridad podría conllevar claramente que se suplante la identidad de cualquier persona con el simple hecho de conocer el DNI.
El Reglamento General de Protección de Datos obliga a la adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esta obligación recae a cualquier responsable que trate datos personales. El RGPD no establece un listado cerrado de medidas de seguridad, sino que deben ser las propias entidades las que decidan que medidas son adecuadas en función del riesgo existente. Para la evaluación del nivel de seguridad se debe tener en cuenta los riesgos del tratamiento que puedan conllevar la destrucción, pérdida, alteración de los datos, así como la comunicación o acceso no autorizado de dichos datos. La omisión de medidas técnicas y organizativas en el caso analizado por la AEPD conllevaría la posibilidad de que cualquiera pudiera acceder al detalle de los movimientos de la tarjeta con el simple hecho de conocer el DNI.
Efectivamente, la Agencia considera que el banco no adopta medidas de seguridad adecuadas, “ya que cualquier persona utilizando el sistema de atención telefónica automatizado podría dar un número de DNi siendo o no titular del mismo y obtener información asociada a ese DNI”.
La Agencia hizo una propuesta de sanción de 200.000 euros. No obstante, la entidad reconoce su responsabilidad y se acoge a la posibilidad de efectuar el pago voluntario de la sanción, quedando definitivamente la sanción en 120.000 euros.
Se adjunta enlace: https://www.aepd.es/es/documento/ps-00362-2021.pdf
- La AMLA fija sus prioridades estratégicas para el periodo 2026-2028
- El Gobierno da luz verde al estatuto de la Agencia Estatal de Evaluación de Políticas Públicas
- La policía italiana registra un club de fútbol vinculado a Doge por blanqueo de capitales
- La Comisión Europea incumple el plazo para guiar sistemas de alto riesgo en la ley de IA
- El Reino Unido publica la lista de empresas que incumplieron la normativa antiblanqueo
- La SFO archiva un caso de soborno extranjero vinculado a Sierra Leona
