Imagen de Google Maps oficina de Majadahonda
La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a ING con una multa de 400 000 €, tras confirmar que el banco no pudo localizar datos personales de un cliente que se perdieron durante el envío a través de una empresa de mensajería. La sanción inicialmente era de medio millón, pero se redujo en un 20 % al aceptarse voluntariamente por parte de la entidad.
El problema se desencadenó cuando un cliente envió, siguiendo las indicaciones del banco, documentación muy sensible, incluyendo copias de su DNI por ambas caras, sus datos bancarios y otra información personal, para tramitar un cambio de titularidad de una cuenta. Sin embargo, el paquete nunca llegó a los sistemas de ING y, durante meses, el banco no supo localizarlo.
A pesar de que el propio cliente avisó hasta cuatro veces en el mes siguiente al envío de que no había recibido confirmación y que sospechaba una pérdida, ING se limitó a abrir incidencias internas y a sugerir que se volviera a enviar la documentación sin investigar a fondo lo sucedido.
Fallos que agravaron la situación
El banco no solo falló en localizar el paquete, sino que además contactó repetidamente con la empresa de mensajería habitual por error, sin generar un rastreo efectivo. Aunque el afectado llegó a proporcionar incluso el nombre de la empresa responsable del transporte contratado en realidad, ING tardó más de siete meses en dirigirse a esa compañía para aclarar lo que había sucedido.
Este retraso y la falta de control han sido claves para que la AEPD considerara que existió una infracción grave de la normativa de protección de datos, por no garantizar medidas de seguridad adecuadas que permitieran la localización oportuna de la información o una respuesta temprana ante su pérdida.
Riesgos para la privacidad
Aunque ING argumentó que la pérdida del paquete no significa necesariamente que los datos hayan sido accedidos por terceros, la AEPD destacó que la combinación de información personal del cliente, como DNI, datos bancarios, dirección o teléfono, entraña un riesgo elevado de suplantación de identidad o fraudes financieros si termina en manos equivocadas.
Recomendaciones sobre de protección de datos
Este caso pone de manifiesto varios aspectos críticos para la gestión de datos personales:
- Establecer procedimientos de seguimiento no solo dentro de la propia organización, sino también con proveedores externos.
- Responder ágilmente a avisos de clientes que reportan posibles pérdidas o brechas de datos.
- Contar con mecanismos de alerta temprana que detecten incidencias desde el primer momento, en lugar de depender únicamente de informes de usuarios.
- Garantizar contratos y prácticas claras con encargados de tratamiento externos (como servicios de mensajería) que incluyan herramientas de trazabilidad.
La AEPD ha incrementado en los últimos años su actividad sancionadora, con múltiples multas a grandes empresas por vulneraciones del RGPD y la legislación española de protección de datos, consolidando la idea de que el cumplimiento de estas normas es una parte esencial de la gestión de riesgos de cualquier organización.
Fuente elDiario.es
