- La AEPD sanciona a Generali por una fuga de datos en 2022 que afectó a 1,6 millones de personas.
- La filtración incluyó datos personales y bancarios de clientes y exclientes.
- Generali alegó que los perjuicios eran potenciales, pero la AEPD desestimó sus argumentos.
- La sanción inicial de 5 millones se redujo a 4 millones por pronto pago, aunque la aseguradora ha recurrido judicialmente.
Una fuga de datos que comprometió información personal
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 5 millones de euros a la filial española de la aseguradora Generali, tras una fuga de datos ocurrida en octubre de 2022. El incidente afectó a 1,6 millones de clientes y exclientes, comprometiendo datos como nombres, apellidos, DNI, teléfonos, direcciones, estado civil e incluso cuentas bancarias (IBAN).
El problema surgió cuando un ciberataque automatizado vulneró las credenciales de un corredor de seguros, permitiendo acceder a información no solo de sus clientes, sino también de cualquier excliente de Generali. La brecha de seguridad no fue detectada a tiempo, lo que facilitó la venta de datos en Telegram, donde se identificaron más de 24.000 registros filtrados.
Generali no notificó el incidente de inmediato
Inicialmente, la aseguradora no informó a la AEPD sobre la fuga de datos, al considerar que solo afectaba a 37 personas. Sin embargo, con el tiempo se descubrió que el impacto era mucho mayor. En noviembre de 2022, Generali comunicó la filtración a más de un millón de antiguos tomadores de pólizas, además de 400.000 exasegurados de pólizas individuales y 166.000 de pólizas colectivas.
Motivos de la sanción y respuesta de Generali
La AEPD justificó la multa en base a varias infracciones cometidas por la aseguradora:
- 1 millón de euros por vulnerar el principio de confidencialidad.
- 1 millón de euros por no contar con medidas de seguridad adecuadas.
- 2 millones de euros por la falta de medidas organizativas que permitieron el acceso indebido a datos de exclientes.
- 1 millón de euros por la ausencia de una evaluación de impacto en la protección de datos.
Generali ha recurrido judicialmente la resolución, argumentando que no hubo pruebas de daños reales para los afectados y que la conservación de datos de exclientes es necesaria según la Ley de Contrato de Seguros. No obstante, la AEPD desestimó sus alegaciones y confirmó la sanción.
Finalmente, la multa quedó en 4 millones de euros por pronto pago, aunque la aseguradora deberá adoptar medidas correctivas para reforzar la protección de datos y evitar futuras sanciones.
¿Tu empresa cumple con la normativa de protección de datos?
El cumplimiento del Reglamento General de Protección de Datos (RGPD) es clave para evitar sanciones y garantizar la seguridad de la información personal. Si necesitas asesoramiento para prevenir riesgos y fortalecer tu sistema de protección de datos, ponte en contacto con nosotros.
