Una brecha de seguridad en una mutua expone datos sensibles de más de 3.000 personas y acaba con una sanción de 600.000 € por parte de la AEPD.
El error humano en la programación de correos electrónicos fue suficiente para desencadenar el incidente.
La Agencia considera que las medidas adoptadas fueron básicas, pese a los esfuerzos posteriores de la entidad.
Contar con un protocolo interno, formación continua y un Delegado de Protección de Datos es clave para prevenir brechas y reducir su impacto.
¿Qué consecuencias puede tener una brecha de seguridad?
Cada vez más organizaciones trabajan con herramientas digitales que les permiten operar de forma ágil y eficiente. Pero si no se gestionan adecuadamente, estas tecnologías pueden convertirse en una amenaza seria para la seguridad de los datos personales que manejamos.
Un reciente caso gestionado por la Agencia Española de Protección de Datos (AEPD) muestra el alto coste económico y reputacional que puede tener una brecha de seguridad mal gestionada. Una conocida mutua, colaboradora de la Seguridad Social, se enfrentó a una sanción de 600.000 € tras un error en su plataforma online de gestión documental.
El origen del problema: un fallo en el código y un envío masivo erróneo
Todo comenzó con un fallo aparentemente menor: un comentario en el código de programación que desactivó una línea clave. El resultado fue que se enviaron automáticamente archivos con información sensible a destinatarios incorrectos. Se trataba de documentos Excel que incluían datos personales —e incluso de salud— de empleados de otras empresas.
Los datos expuestos: información altamente sensible
En total, la brecha afectó a 3.395 personas y los archivos llegaron a 354 entidades. La información comprometida incluía:
Nombre, NIF/NIE, edad y empresa del trabajador
Detalles sobre bajas laborales, contingencias, causas del alta o accidente
Información económica y de cotización
Y, especialmente delicado, datos de salud, considerados sensibles por el RGPD
La respuesta de la entidad: rápida pero insuficiente
A raíz del incidente, la mutua actuó con rapidez:
Corrigió el fallo en la programación.
Limitó el número de archivos adjuntos por correo.
Verificó que los archivos coincidieran con el destinatario previsto.
Se puso en contacto con las entidades afectadas para asegurar la eliminación de los datos.
Notificó la brecha a la AEPD y a las personas afectadas.
También disponía de medidas preventivas anteriores al incidente, como formación interna, análisis de riesgos, políticas de privacidad y auditorías externas.
¿Por qué se impuso la sanción?
Para la AEPD, estas medidas no fueron suficientes. Consideró que, dado el volumen de datos tratados mensualmente (250.000 envíos) y su naturaleza especialmente sensible, la entidad no había aplicado controles adecuados para detectar o evitar el error.
Aplicando los criterios del RGPD, se propuso una multa de 1.000.000 €, que fue reducida finalmente a 600.000 € por pronto pago y reconocimiento de responsabilidad.
Cómo evitar una sanción: claves para proteger tu organización
Este caso demuestra que cualquier entidad, sin importar su tamaño o sector, puede ser víctima de una brecha de seguridad. Pero lo que marca la diferencia es cómo se prepara y cómo actúa. ¿Qué puedes hacer para minimizar riesgos y evitar sanciones?
Diseña y aplica un procedimiento interno ante brechas de seguridad.
Asegúrate de que todo el personal con acceso a datos personales lo conoce.
Realiza formaciones periódicas sobre protección de datos.
Nombra un Delegado de Protección de Datos que pueda coordinar la respuesta ante incidentes.
Aplica medidas técnicas y organizativas adecuadas al nivel de riesgo, tal y como exige el artículo 32 del RGPD.
