La Agencia Española de Protección de Datos ha impuesto una multa a Openbank de 2,5 millones de euros por no haber aplicado una serie de medidas «reforzadas» para asegurar los principios de protección de datos, así como por la falta de las medidas técnicas y organizativas «apropiadas» para garantizar un nivel de seguridad «adecuado» al riesgo en el momento en el que ocurrieron los hechos, en julio de 2021, según la resolución consultada por Europa Press.
Esta sanción se produce después de que un cliente de Openbank, al que la entidad solicitaba que declarase el origen de varias cantidades recibidas en su cuenta bancaria –siguiendo con la normativa contra el blanqueo de capitales–, reclamara a la entidad algún mecanismo para remitir la información solicitada de manera cifrada o mediante carga directa en el portal web, ya que la única opción válida era la de remitirla por correo electrónico.
Tras realizar una investigación, Protección de Datos concluye que el correo electrónico era el «único canal» de comunicación para el envío de documentos ofrecido a los clientes en ese momento. El mecanismo consistía en contestar al propio correo electrónico, un medio de envío no «adecuado» en función del riesgo que podía existir para los derechos y libertades de los interesados.
Además, señala que se no trata de un medio apropiado para garantizar un nivel de seguridad adecuado al riesgo en el envío de documentación que contenga datos personales relacionados con la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, que requieren «una especial protección», teniendo en cuenta la normativa de prevención de blanqueo de capitales, el carácter de los datos que se están tratando y el RGPD.
También indica que la información solicitada por Openbank al cliente tiene la consideración de «dato financiero», lo que exigía la aplicación de una serie de «medidas reforzadas» para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.
Así, la agencia señala que este caso no trata de que debieran implantarse medidas de seguridad «de alto nivel», sino que se trata de que debían implantarse medidas que garantizaran un nivel de seguridad «adecuado» al riesgo para los derechos y libertades de las personas físicas.
La resolución destaca, además, que no ha sido hasta octubre de 2022 cuando los protocolos de comunicación y evaluación de impacto y seguimiento de clientes y operaciones sensibles han incorporado de forma específica que los clientes puedan aportar la documentación solicitada a través de la web de Openbank, logándose en el área privada de cliente con DNI y clave de acceso.
Por ello, la Agencia de Protección de Datos ha considerado que Openbank ha cometido una infracción por vulneración de los artículos 25 y 32 del RGDP, con agravantes por naturaleza, gravedad y duración de la infracción, por «internacionalidad o neglicencia», por la categoría de los datos afectados y por la vinculación de la actividad del infractor con el tratamiento de datos, de tal manera que la sanción conjunta es de 2,5 millones de euros.
Contra la resolución, cabe interponer, potestativamente, recurso de reposición ante la dirección de la agencia o bien, directamente, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional. Al respecto, Openbank ya ha presentado recurso contra la decisión de Protección de Datos, según ha indicado a Europa Press.