La filial de la aseguradora italiana Generali ha recibido una sanción de 5 millones de euros en España por parte de la Agencia Española de Protección de Datos (AEPD). Esto se ha debido a una fuga de datos producida a en octubre de 2022, donde se comprometió la información confidencial de hasta 1,6 millones de personas, entre clientes y exclientes de la entidad. La aseguradora, según ha confirmado a este medio, ha decidido recurrir judicialmente esta resolución.
Entre los datos que fueron filtrados se incluyeron los personales, como nombre, apellidos, DNI, teléfonos, direcciones, estado civil e incluso el IBAN de la cuenta bancaria.
La parte reclamante aportó numerosas capturas de pantalla en las que se describía la comunicación recibida vía email o correo postal de la aseguradora sobre la citada brecha de seguridad y su afectación a los datos personales. También se remitieron otras capturas de reclamantes en las que se solicitaba la supresión de los datos, la no renovación de la póliza y la cancelación de los datos, y otra en la que el reclamante solicita los motivos por los que Generali conserva sus datos si dejó de ser cliente desde el 2018.
El ataque quedó constatado debido, en primer lugar, a la detección de problemas de rendimiento y saturación en la aplicación de mantenimiento de clientes, debido al elevado número de peticiones que estaba llevando a cabo el ataque. Posteriormente, uno de los corredores vio vulneradas sus credenciales, ya que las utilizaron para entrar en la aplicación y ejecutar "un ataque automatizado de fuerza bruta contra el formulario de consulta de clientes, realizando para ello intentos con múltiples números de NIF aleatorios", explica la sentencia. Tras ello, se concluyó que el ataque empezó unos 15 días antes, y no fue detectado por Generali.
En un principio, el corredor afectado asociado a Generali afirmó que la afectación solo llegaba a 37 personas físicas (cliente o exclientes) de ese corredor. Asimismo, se decidió no notificar el incidente a la AEPD. Pero más adelante se descubrió un fallo en el software por el cual el corredor podía acceder a datos no solo de sus clientes, sino también de cualquier excliente de la aseguradora.
Ya en noviembre, se tuvo constancia de una filtración de datos mucho mayor al conocerse la venta de una base de datos de exclientes de Generali a través de un grupo de Telegram, obteniéndose 24.315 registros.
Posteriormente, Generali procedió a una comunicación no solo a esas más de 24.000 personas, sino también a un millón de extomadores de pólizas, además de casi 400.000 exasegurados de pólizas individuales potencialmente afectados y otros 166.000 exasegurados de pólizas colectivas, aunque de estos no se disponía de datos de contacto, por lo que se incluyó su posible afectación en un comunicado web. En total, aproximadamente 1,6 millones de personas se vieron potencialmente afectadas por el ciberataque, según estimó la AEPD.
Las alegaciones
La aseguradora procedió a recurrir el expediente sancionador, cuestionando en primer lugar la filtración de datos de más de 800.000 exclientes en un foro de Telegram. También alegó que los perjuicios a los afectados fueron potenciales, ya que apenas un reclamante manifestó su intención de buscar compensación por daños morales no acreditados. Asimismo, reclamó que datos sensibles, como lo de salud, no se veían afectados, así como que el acceso de información a exclientes es necesario por la Ley de Contratos de Seguros.
Sin embargo, ninguna de las alegaciones presentadas por la compañía fue tenido en consideración, desestimando la AEPD todos los argumentos y confirmando la sanción. Por ello, finalmente la multa se saldó con varias infracciones. La primera de ellas fue de un millón por la vulneración del principio de confidencialidad; otro millón de euros fue por las insuficientes medidas de seguridad; dos millones de euros por la no integración de medidas organizativas adecuadas (razón por la que los mediadores pudieran acceder a datos de exclientes de Generali); y por último, otro millón de euros más por la falta de evaluación de impacto en la protección de datos.
Finalmente, la sanción se quedó en 4 millones de euros por pronto pago de la aseguradora, aunque Generali deberá implementar una serie de medidas para evitar futuras sanciones acorde con las normativas de protección de datos.