En la resolución de la AEPD https://www.aepd.es/es/documento/ps-00401-2022.pdf, la Subdirección General de Inspección de datos (SGID), inspeccionó de oficio a la entidad sancionada puesto que tenía conocimiento de actuaciones que podrían vulnerar la legislación en materia de protección de datos.
Varias entidades, responsables y encargados del tratamiento del sector seguros notificaron, a la División de Innovación Tecnológica de la AEPD, la publicación no autorizada de datos de sus clientes. La entidad sancionada, hizo público en distintos foros la venta de usuarios de una compañía de seguros dedicada al sector del automóvil, además de los registros con información personal de clientes españoles de una compañía de seguros.
La AEPD, consideró que la corredora de seguros, como proveedora de servicios de gestión e infraestructuras tecnológicas, no contaba con las medidas organizativas técnicas y tecnológicas apropiadas para impedir la exposición de los datos personales de los asegurados.
Las infracciones cometidas se refieren a los artículos 5.1.f del RPGD “principio de integridad y confidencialidad” y al artículo 32 del RGPD “seguridad del tratamiento”. La cantidad ascendió a 80.000€. Finalmente, la sanción se redujo a 48.000€ aplicando las reducciones.
IMPORTANTE
El responsable y encargado de tratamiento deben realizar un análisis de riesgos para determinar las medidas técnicas y organizativas apropiadas.
