El pasado viernes día 26 de febrero, conocíamos la resolución de la Agencia Española de Protección de Datos en el Procedimiento Sancionador 461/2020 seguido frente a la entidad Caixabank. Si hace poco más de mes y medio, a esta entidad se le había impuesto la multa “record” en España, ahora, la Agencia, en un procedimiento sancionador con una temática radicalmente distinta, decide archivar el asunto seguido frente a ésta entidad. Si hace poco más de un mes fue noticia esta entidad, hoy no lo será por hacer las cosas de forma adecuada en la gestión de incidentes de seguridad, según el parecer de la AEPD.

Pongámonos en contexto: Caixabank detecta en septiembre de 2019 “comportamientos anómalos en la cartera de clientes de ciertos exempleados”. Consigue verificar la existencia de posibles fugas de información por parte de dos antiguos empleados, antes de resolver sus contratos con la entidad e irse a otra entidad financiera. Lo que al parecer ocurre, es que éstos habrían presuntamente tomado los datos personales de su cartera de clientes, habían volcado la información en sus correos personales y se habrían llevado la información a su nuevo puesto de trabajo en otra entidad financiera. Caixabank, en octubre de 2019, emite burofaxes al banco que había dado empleo a estos dos antiguos empleados.

Previa sospecha

También en octubre, el área de Auditoría Interna de la Entidad lleva a cabo un análisis que culmina con la emisión, a fines de este mes de un Informe de Auditoría, por el que se detecta que dos empleados habían obtenido información sensible y confidencial de manera irregular.

 La entidad incluso llega a presentar querella frente a los mismos (enero de 2020), lográndose cerrar un acuerdo en en el que los antiguos empleados firman un compromiso de confidencialidad y aportan un certificado de destrucción de la información (febrero de 2020).  La entidad decide notificar a la Agencia con fecha de 17 de enero de 2020, hasta entonces no habría notificado nada.

Se observa, por parte de la Agencia, que se notifica cuando se considera que:

Era probable que la brecha constituyera un riesgo para los derechos y las libertades de las personas. La misma debe ser aceptada y proceder al archivo del procedimiento sancionador, toda vez que el análisis de la entidad para la toma de decisión relacionada con la notificación de brechas de seguridad a la autoridad de control, se efectúa conforme a lo expuesto en la Guía para la gestión y notificación de brechas de seguridad sobre la base de los parámetros que en la misma se indican”.

Es decir, la notificación, que se realiza muchos meses después de que se hubieran desarrollado estas conductas, e incluso después de que la entidad hubiera investigado -auditado-e incluso mandado distintos burofaxes a otra entidad donde se informa de dichas conductas. Aun así, y de forma que puede ser discutible, la Agencia considera que esta notificación se realiza conforme a Derecho.

Es esencial recordar que el RGPD exige que la notificación de la brecha de seguridad:

De ser realizada sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. A menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”.

El aspecto relativo a las medidas de seguridad que se establecen por parte de la entidad y como son tenidas en cuenta por la Autoridad de Control. De esta forma, la resolución indica: “Además, hay que señalar que la entidad investigada tenía implementadas medidas de seguridad que, en principio, eran las adecuadas para garantizar que los datos personales no fueran accesibles por terceros y, como consta en los hechos, en cuanto el ataque fue detectado y confirmado por la entidad se adoptaron de manera inmediata una serie de medidas de seguridad adicionales con el fin de minimizar los riesgos y extremando las dificultades para el acceso y extracción de la información”.

En efecto, la resolución hace referencia a algunas medidas con un claro enfoque de “Compliance”.

Así las cosas, Caixabank tenía establecido, entre otras y ex ante- los siguientes controles:

1.- Sujección al compromiso de ética de la entidad. El Código ético señala las obligaciones de confidencialidad.

2.- Formaciones periódicas que necesariamente deben superar los empleados. Estas formaciones estarían vinculadas a su retribución variable. Ligar incentivos a la superación de objetivos resulta una gran iniciativa. En otros ordenamientos jurídicos, como el estadounidense, obliga a las organizaciones a incentivar el cumplimiento de los programas de ética y cumplimiento.

3.- Generación de avisos informáticos antes de acceder a cierta información. Se establecieron dos avisos en las que el empleado debía confirmar que quería acceder a una información sobre unas causas tasadas en las que estaría autorizado a acceder a según qué información.

A pesar de estas medidas tomadas -ex ante-, la entidad no tenía documentado ningún análisis de riesgos ni evaluación de impacto. Una vez comprobada la existencia de la brecha, la entidad, sí realiza una evaluación de impacto. Para la resolución de la brecha, la entidad firmó un acuerdo de confidencialidad con los ex-empleados para destruir la información a la que habían accedido. Y, de este modo, mantener su privacidad.

Conclusión

Aunque resulten discutibles algunas cuestiones relativas a esta resolución, como por ejemplo, la ausencia de la realización de un análisis de riesgos; las medidas establecidas por la entidad, a juicio de la Agencia podrían ser adecuadas para garantizar la confidencialidad de la información. Es necesario resaltar qué medidas son una forma de control para impedir la vulneración de la normativa de protección de datos. Como, por ejemplo:

  • El establecimiento de un código de conducta
  • La sujeción de los empleados al mismo, enfocado para evitar la comisión de delitos en un programa de cumplimiento penal.

Las sinergias existentes entre el compliance penal y RGPD resultan claramente bidireccionales. El tratamiento adecuado de esta brecha de seguridad también resulta una evidencia de cara a acreditar la existencia de una verdadera cultura de cumplimiento en la organización. La Circular 1/2016 de la Fiscalía General del Estado en su punto 5.8 señala que para valorar la eficacia de los modelos de gestión se atenderá al:

“Comportamiento de la corporación en relación con anteriores conductas […] para deducir la voluntad de cumplimiento de la persona jurídica y en qué medida el delito representa un acontecimiento puntual.”

En definitiva, tanto el legislador como las instituciones pretenden proteger los intereses sociales comunes. Aunque existan incumplimientos legales en el seno de la empresa, deben de ponderar el grado de responsabilidad y diligencia a la hora de imponer sanciones. En cualquier ámbito legal, cumplir siempre sale barato.

Santiago Cruz, abogado y Alejandro Chelle, consultor de Compliance y Protección de Datos en UBT Legal & Compliance

AGENDAR LLAMADA