Protección de datos tardó tres meses en investigar una brecha de seguridad en Caixabank

Caixabank notificó ante la Agencia Española de Protección de Datos (AEPD) una brecha de seguridad provocada por una oficina valenciana. La sucursal tiró a un contenedor varias cajas con documentación confidencial que estuvo tres días en la vía pública. El hecho fue denunciado el 30 de mayo de 2019 pero la AEPD no comenzó la investigación hasta el 12 de septiembre del mismo año.

El suceso se produjo durante el proceso de traslado de una oficina valenciana de la entidad financiera. Dos cajas fueron etiquetadas durante el traslado como 'material publicitario' cuando en realidad contenían información confidencial. Fueron arrojadas a un contenedor de basura ubicado en la calle. La AEPD explica que no pudo confirmar con Caixabank si entre los papeles había datos personales de clientes.

“Durante las labores de traslado de una oficina de la entidad, unas cajas con documentación confidencial de uso interno, entre la que no consta, pero no se ha podido descartar, que hubiera datos de carácter personal, se depositaron en un contenedor de residuos erróneo (no dedicado a destrucción de papel) que tardó tres días en ser retirado de la vía pública”, recoge la resolución publicada por la AEPD.

La denuncia fue archivada tras no recibir ninguna reclamación de usuarios afectados

La entidad bancaria se enteró del suceso en redes sociales y lo comunicó al organismo el 30 de mayo de 2019. Un usuario las encontró abiertas en la calle con los documentos al descubierto -se sospecha que alguien abrió las cajas y removió los papeles-. 

“Es normal que una cantidad enorme de papeles internos de la sucursal 4364- AUDITORIUM estén tirados en un contenedor de obras en Valencia? Se trata de documentación interna con detalles de cuentas de clientes, informes, etc… del 1999 al 2004!!! ...”, publicó el denunciante en un su perfil de redes sociales.

Así las cosas, el organismo de protección de datos decidió finalmente archivar la denuncia, tras no recibir reclamación alguna por parte de quienes podrían haberse visto afectados por el incidente. Además, considera que Caixabank procedió de manera acorde a lo establecido en estos casos.

Tres meses para investigarlo

La Agencia Española de Protección de Datos tardó más de tres meses en abrir el proceso de investigación de la brecha de seguridad. El organismo ha denunciado en varias ocasiones la falta de recursos disponibles para desarrollar su labor con normalidad.

La notificación del incidente se recibió el 19 de mayo de 2019, pero no fue hasta el 12 de septiembre del mismo año cuando se iniciaron las pesquisas para resolver el suceso, del que la resolución no facilita alcance alguno -número de personas afectadas-.