Sanción de cien mil euros a una entidad bancaria en Rumanía por una formación ineficiente a los empleados en materia de protección de datos, quienes, como resultado, habrían actuado vulnerando los principios y obligaciones de confidencialidad y de integridad regulados en el Reglamento General de Protección de datos Personales (RGPD).
Efectivamente, la Autoridad de Protección de Datos de Rumanía impuso esta sanción con motivo de las malas prácticas seguidas por varios empleados de la entidad y que afectaron a cuatro personas físicas en relación con sus datos personales; concretamente, los referidos a su nombre y apellidos, direcciones de correo electrónico; datos de comportamiento; preferencias personales; valor de transacción económica; domicilio laboral; cargo y lugar de trabajo; y número de teléfono de servicio. Información personal que, además, habría acabado publicada en una red social.
Específicamente, lo que sucedió es que una declaración solicitada por el banco a un cliente sobre cómo pretendía utilizar una determinada cantidad de dinero que deseaba retirar de su cuenta se publicó online y además:
- Esta declaración fue distribuida entre varios empleados de Banca Transilvania en las direcciones de correo electrónico del trabajo.
- Uno de los empleados enumeró el correo electrónico que contenía la declaración del cliente, así como el correo electrónico que contenía la conversación interna entre los empleados del banco.
- Otro empleado fotografió el documento listado con su teléfono móvil y lo distribuyó a través de la aplicación WhatsApp.
- Posteriormente, el documento enumerado fue publicado y distribuido en la red social Facebook y en un sitio web.
Las malas prácticas fueron sancionadas por vulnerar los principios y obligaciones de confidencialidad e integridad, regulados en el artículo 5 del RGPD, pero también por la insuficiencia en la adopción de las medidas de seguridad oportunas, tal y como exige el artículo 32 del RGPD.
Durante el proceso disciplinario dirigido contra Banca Transilvania SA, la Autoridad de Supervisión encontró que el banco, como responsable del tratamiento, no había adoptado las medidas suficientes para garantizar que cualquier persona física con acceso a datos personales que actuara bajo su autoridad (empleados, principalmente) los procesara adecuadamente.
La sanción destacó el hecho de que la vulneración del derecho de protección de los datos personales perjudicó especialmente a los interesados debido a su divulgación pública a través de una red social ya que ello provocó diversos daños morales, así como otras importantes desventajas económicas y sociales para el cliente del banco afectado por el incidente de seguridad.
Además, la resolución sancionadora fue confirmada posteriormente por los tribunales rumanos que destacaron especialmente el hecho de que la formación de los empleados implicados no había tenido lugar ni sido efectiva, poniendo especial énfasis en el hecho de que no bastara acreditar la existencia de reglamentos internos y la organización de cursos sobre la materia, sino que fuera esencial comprobar su aplicación efectiva por algún medio de verificación de la adquisición de tales conocimientos e información por parte de los empleados, lo cual quedó evidenciado porque la divulgación fue deliberada y no autorizada por parte de las personas bajo la autoridad del Banco; se trató de un conjunto significativo de datos personales (algunos en la categoría de datos extremadamente sensibles) que fueron accedidos por un gran número de personas y que los tres empleados que habían provocado el incidente de seguridad no solo no estuvieran realmente formados sino que tampoco se aplicaron los mecanismos, medidas de control y evaluación destinados a asegurar que sus empleados hubieran cumplido con dicha normativa interna
De todo ello, el tribunal concluyó que los documentos presentados por la entidad sancionada como prueba de la aplicación de las medidas organizativas técnicas apropiadas no eran suficientes para demostrar un nivel adecuado de seguridad en cuanto a la capacidad de garantizar la confidencialidad ni se acreditaron evaluaciones y valoraciones periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
La resolución sancionadora pone de relieve que no cabe un cumplimiento meramente formal, es precisa una diligencia proactiva, cualitativa y efectiva
Es fundamental, por tanto, por un lado, que las organizaciones formen a sus empleados en materia de los principios y obligaciones de protección de datos personales; y, por el otro, que instauren y apliquen protocolos de comprobación de la efectividad de los conocimientos facilitados al personal. Prestamos servicios de formación a empleados en organizaciones de todo tipo. Contáctenos para obtener más información, somos abogados especialistas en protección de datos personales.
