Multa de 220.000 euros a DKV Seguros por enviar correos con datos de pruebas médicas a terceros

La Agencia Española de Protección de Datos (AEPD) ha multado a DKV Seguros con 220.000 euros por enviar a una mujer correos electrónicos con información privada de otras personas.

La empresa finalmente pagó 132.000 euros debido a que reconoció el error y realizó el pago de forma inmediata, lo que supuso una reducción del 40%.

Nombre, apellidos, número de póliza…

Según una resolución consultada por Confidencial Digital, una mujer puso en conocimiento de la AEPD que llevaba un año recibiendo en su dirección de correo electrónico autorizaciones de pruebas médicas de personas desconocidas.

En el contenido del mensaje aparecían datos como nombres, apellidos, número de póliza y, en ocasiones, el tipo de prueba diagnóstica al que tenían que someterse.

La mujer, cada vez que recibía este tipo de correos, dejaba constancia de que esa información no le correspondía a ella y que se la estaban enviando de forma equivocada, pero la aseguradora no solventó el problema.

51 correos y 32 afectados

DKV Seguros remitió desde el 16 de abril de 2020 al 9 de marzo de 2021, un total de 51 correos electrónicos en los que había informaciones de 32 personas.

Tras comprobar los hechos denunciados, la AEPD consideró que el tratamiento de los datos personales que realizó la parte reclamada no cumplía las condiciones que impone la normativa vigente en materia de protección de datos. 

Configuración defectuosa del CRM

La AEPD destacó que el hecho de que trabajadores de dos encargados diferentes hayan cometido el mismo error, “demuestra que no se trata de un fallo humano concreto, sino de una defectuosa configuración del CRM (Gestión de Relaciones con el Cliente por sus siglas en inglés).

A ello añade que esto pone de manifiesto “que dichos errores son tan sólo la muestra de falta de medidas de seguridad adoptadas por el responsable”.

Asimismo, la resolución ha señalado que la aseguradora ha sufrido una brecha de seguridad de datos personales teniendo constancia de ella y no lo ha notificado a la Agencia. 

Según el artículo 33 del Reglamento General de Protección de Datos, si una empresa tiene conocimiento de una brecha de seguridad, debe comunicarlo en 72 horas a la Agencia y, si no lo hace, debe adjuntar un justificante con los motivos de la dilación.

Pago voluntario y reconocimiento del error

Por todo ello, la AEPD ha sancionado a la aseguradora con 220.000 euros por la infracción de los artículos 5.1 (100.000 euros), 32 (60.000 euros) y 33 (60.000 euros) del RGPD. Tras reconocer el fallo y pagar voluntariamente, finalmente la multa se ha reducido a 132.000 euros.

Para calcular la multa, La AEPD ha tenido en cuenta varios agravantes debido al número de afectados, a que la mujer que recibió los correos dejó constancia del error en numerosas ocasiones, la durabilidad de la infracción y que los datos estaban relacionados con asuntos de salud. 

Puesta en marcha de medidas correctoras

Fuentes de DKV Seguros han explicado a Confidencial Digital que, desde que tuvieron conocimiento de los hechos, pusieron en marcha medidas correctoras para que esto no volviera a repetirse.

Ejemplo de estas medidas han sido la realización de “extensas auditorías internas, eliminando datos incorrectos y modificando algunas reglas en su CRM, se han actualizado los procesos de gestión, se ha reforzado el cifrado de autorizaciones y se ha anonimizado el encabezado en los correos” han apuntado a ECD.

Asimismo, han añadido que lamentan y asumen los hechos, por lo que se pusieron en contacto tanto con la reclamante como con las personas afectadas para explicarles lo sucedido y pedirles disculpas.

DKV ha relatado que las incidencias fueron consecuencia de un fallo en cadena, originado por un error humano, en el que se vieron implicados empleados, proveedores y plataformas de gestión de datos.