La aseguradora Active Insurances ha sido multada por el CNIL, la autoridad de control de Francia, con una cantidad de 180.000 euros por “no proteger la información de manera adecuada conforme al artículo 32 del RGPD”.
El incidente fue notificado por primera vez al CNIL por parte de un cliente que afirmaba que era capaz de acceder a los datos personales de otros usuarios, incluidos carnés de conducir, tarjetas y registros bancarios. El CNIL se lo comunicó en consecuencia a la compañía, que aceptó tomar medidas correctivas para proteger los datos de sus consumidores.
Active Insurances informó al CNIL de la aplicación de las medidas necesarias, y la autoridad de control procedió a una inspección de las oficinas, tras lo que concluyó que:
- las medidas no eran suficientes;
- los protocolos de contraseñas, impuestos por la empresa, se correspondían con la fecha de nacimiento de cada trabajador, de lo cual se informaba en los mismos manuales;
- tras la creación de la cuenta de cliente, tanto el usuario como la contraseña eran enviados a los sujetos por email con una indicación expresa.
El CNIL ha considerado que Active Insurances no ha actuado con la diligencia debida para la protección de los datos personales que trata y destacó los siguientes puntos:
- la compañía debería haber implementado controles de acceso a los documentos;
- se debería haber cambiado el nombre de los documentos para que no fuesen fácilmente accesibles mediante un motor de búsqueda;
- se debería haber instado a los usuarios a utilizar contraseñas reforzadas y bajo ninguna circunstancia se deberían haber compartido por email.
La decisión del CNIL toma en cuenta la seriedad de la violación de seguridad debido a la naturaleza de la misma, la sensibilidad de la información personal comprometida y el número de personas afectadas.
