La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 200.000 euros a la aseguradora Allianz por permitir la filtración de una de sus pólizas de automóvil, así como un informe de la Dirección General de Tráfico almacenado en sus sistemas con información del mismo vehículo. La documentación llegó a manos de la expareja del asegurado, quien la usó en “un procedimiento judicial de modificación de medidas paternofiliales”, según consta en la resolución del regulador de privacidad.
El hombre presentó la reclamación ante la AEPD cuando su expareja le envió un correo electrónico con ambos documentos. Sin embargo, la póliza incluida en el email no era un archivo PDF propiamente dicho, sino una captura de pantalla. Este hecho terminó siendo clave en la investigación de la infracción y la multa a Allianz.
Cuando la Agencia se puso en contacto con la aseguradora, esta informó que no era “conocedora de ninguna incidencia ni de ningún acceso no autorizado por parte de terceras personas a los datos de la póliza”. Dichos accesos y filtraciones deben comunicarse de inmediato a la AEPD, ya sean fruto de ciberataques u otras situaciones fuera del control de la empresa. Sin embargo, Allianz no había comunicado ninguna incidencia de este tipo que afectara a sus bases de datos.
La compañía inició, no obstante, una investigación. Analizó las pruebas suministradas y comprobó que la captura de pantalla de la póliza filtrada mostraba en realidad su propio programa de gestión de clientes. Aunque no ha aclarado cómo, Allianz terminó averiguando que la fuente de la filtración era una de sus empleadas, quien tenía una “relación de amistad” con la expareja del asegurado, según informó la empresa más tarde a la AEPD.
Esta explicación no desvió la atención del organismo, que a partir de entonces se centró en averiguar cómo fue posible que esa trabajadora accediera a datos personales de los asegurados y los almacenara en una captura de pantalla sin que Allianz tuviera ninguna constancia de ello. La aseguradora contestó que la empleada era en ese momento tramitadora de siniestros y “estaba legitimada por sus funciones para tener acceso a las pólizas de los clientes”.
Además, confesó que en ese momento no disponía de ningún software que trazara los accesos a su base de datos. Esto provocaba que fuera posible para cualquier empleado de ese equipo consultar datos personales y pólizas e incluso registrarlas sin permiso de los interesados y sin el control de la aseguradora. “La trazabilidad es un instrumento que precisamente permite controlar la posibilidad de existencia de accesos indebidos”, refleja la AEPD en su resolución.
“Además, en este caso se ha extraído un pantallazo de la aplicación, pese a que hay aplicaciones que impiden la captura de pantallazos de las aplicaciones para evitar un posible filtrado de información”, continúa el regulador. “Se ha confirmado que la primera evidencia es una captura de pantalla de la aplicación interna de gestión de clientes de la parte reclamada y la segunda evidencia es una captura de pantalla del informe público que se puede obtener a través de la sede electrónica de la Dirección General de Tráfico”, recalca.
Estos motivos han resultado en una sanción de 140.000 euros contra Allianz por no garantizar un tratamiento “seguro y confidencial” de los datos personales de sus clientes. A esta se ha sumado otra de 60.000 euros por no haber establecido medidas que impidan que terceras personas tengan acceso a los datos sin permiso. La aseguradora ha aceptado la multa y se ha acogido a una reducción del 20% por renunciar a presentar alegaciones a la resolución, lo que ha dejado la cifra en 160.000 euros. También se ha comprometido a mejorar sus protocolos al dictado de la Agencia para impedir nuevas brechas de este tipo.
elDiario.es ha preguntado a Allianz por las acciones que ha tomado contra la empleada a la que ha culpado de los hechos, pero la compañía no ha facilitado ninguna información al respecto. “Para Allianz representa una máxima prioridad la protección de datos y la privacidad de nuestros clientes. Por ello queremos, en primer lugar, manifestar nuestro profundo malestar por los perjuicios que el incumplimiento de las normas establecidas por la compañía, por parte de uno de nuestros empleados, haya podido acarrear en este caso”, ha transmitido a través de un comunicado enviado a esta redacción.
“Aunque los estándares de protección en la compañía son muy elevados, Allianz ha iniciado ya los trámites necesarios para implementar las medidas técnicas y organizativas adicionales apuntadas por la Agencia Española de Protección de Datos en aras de reforzar, todavía más, las garantías de privacidad”, ha añadido.