Entre octubre y diciembre de 2022 se produjeron varias brechas de seguridad que afectaron a más de 870 000 personas, por un ciberataque atribuido al grupo Lockbit. Los datos comprometidos incluían información sensible, como números de cuenta IBAN, documentos identificativos y datos de contacto. Las entidades implicadas fueron Marktel, Orange Espagne y Santander Consumer, en una cadena de subcontratación iniciada por un contrato firmado en 2015, mediante el cual Santander Consumer encargó a Orange la gestión de recobros, y esta a su vez subcontrató a Marktel.
Tras recibir la notificación del incidente y realizar algunas investigaciones, la Agencia Española de Protección de Datos (AEPD) inició en febrero de 2024 un procedimiento sancionador contra Santander Consumer por no haber adoptado medidas de seguridad adecuadas. La propuesta incluía una multa de 500 000 euros, al considerar que la entidad había vulnerado el principio de confidencialidad recogido en el artículo 5.1.f) del RGPD. Aunque Santander alegó que fue víctima de un ataque externo y que la responsabilidad recaía en los encargados del tratamiento, la AEPD respondió que Santander Consumer era la responsable del tratamiento y que, como tal, debía garantizar la seguridad de los datos personales, independientemente de la intervención de terceros.
La Agencia rechazó las alegaciones presentadas por Santander, reafirmando que la negligencia grave quedó acreditada, pues los datos sensibles estaban almacenados sin cifrado ni técnicas de seudonimización, lo que facilitó su acceso y publicación en la Dark Web.
Respecto a la delegación de responsabilidades, la AEPD subrayó que el contrato con Orange establecía medidas de seguridad insuficientes según el RGPD, y que no fue actualizado ni supervisado adecuadamente.
La infracción se tipificó como muy grave conforme al artículo 83.5 del RGPD y al artículo 72 de la LOPDGDD, al vulnerar el principio de integridad y confidencialidad, y la sanción de 500 000 euros se consideró proporcionada, efectiva y disuasoria, teniendo en cuenta la naturaleza de la infracción, el número de afectados, la sensibilidad de los datos comprometidos y la duración del riesgo. Además, la actividad bancaria de Santander Consumer refuerza la exigencia de responsabilidad, pues está vinculada directamente al tratamiento sistemático de datos personales.
Además de la sanción económica, la AEPD ordenó a Santander Consumer que adopte medidas, en el plazo de seis meses, para garantizar la confidencialidad e integridad de los datos personales y que lo comunique a la Agencia. Se advirtió que el incumplimiento de esta orden podría constituir una nueva infracción administrativa.
Fuente: https://www.aepd.es/documento/ps-00093-2024.pdf
░ Imagen de Anthony Shkraba en Pexels
