Una empleada de Wizink difundió datos personales de centenares de clientes

Una empleada de Wizink difundió datos personales de 743 clientes de la entidad, tal y como refleja la Agencia Española de Datos (AEPD) en una resolución en la que archiva el caso. Justifica esta decisión en que el banco online obró con celeridad y corrección para solventar el problema, que fue detectado de forma automática.

Entre los datos que se filtraron al exterior se incluían el nombre de los clientes, sus apellidos, el DNI y determinados datos de su comportamiento, como si aceptaban o no los acuerdos de pago y el motivo de cada decisión tomada. El archivo enviado no incluía dato alguno de contacto de los clientes.

La resolución, consultada por Vozpópuli para la elaboración de esta información, refleja la declaración de la empleada, quien asegura que difundió el artículo por error en un correo electrónico enviado a su novio con las instrucciones "para imprimir".

"La empleada insiste en que no hubo intencionalidad de difundir ni utilizar un fichero con datos personales de clientes de la investigada #1 y añade que el archivo que lo contenía lo adjuntó por error a uno de los varios correos que, según su versión, remitió a su pareja con el concepto [sic]: “para imprimir” con información y documentos relativos a su actividad sindical", puede leerse en la documentación.

Los datos filtrados por la empleada de Wizink pudieron ser utilizados ilegítimamente por despachos de abogados y gestorías

La AEPD añade que "la investigada #1 expresa que el incidente se ha producido, no como consecuencia
de un fallo en las medidas de seguridad técnicas y organizativas implementadas en su encargada del tratamiento o en su grupo empresarial, sino por la conducta inadecuada y no autorizada de la empleada, quien presuntamente pudo aprovechar su condición de miembro de la Sección Sindical para utilizar los medios puestos a disposición de la misma para el ejercicio de sus funciones, y enviar el fichero con datos personales de clientes de la investigada #1 a terceros de forma no legítima".

El incidente fue detectado de forma automática por los sistemas de seguridad de Wizink, que notificaron el envío de los datos sin cifrar fuera del entorno laboral. "Este envío fue detectado ese mismo día por el sistema automático de alertas implementado en la investigada #1, por el cual su Oficina de Seguridad de la Información (en adelante, BISO) recibe una alerta sobre el envío de datos sin cifrar fuera del entorno de la investigada #1".

La investigación de Wizink

Al recibir la alerta, BISO revisó el mencionado aviso y "al ver que se trataba de un envío realizado a través del buzón genérico de la Sección Sindical de ***SECCIÓN.1 de su encargada del tratamiento (en adelante, Sección Sindical), se puso en contacto con Recursos Humanos de la investigada #1 (en adelante, RR.HH.) para verificar si estaba justificado, por razón de sus propias funciones, que la mencionada Sección Sindical tuviese acceso a esa información y su envío externo".

La investigación interna de Wizink ha determinado que la empleada pudo tratar inicialmente de realizar este envío desde su cuenta de correo electrónico corporativa. Como esta no permite mandar esta información al exterior, procedió a utilizar otra cuenta.

"Presuntamente, ante la imposibilidad de enviarlo a través de su correo electrónico corporativo, procedió a realizar el envío desde el buzón genérico de la Sección Sindical que sí tiene habilitados los envíos al exterior para permitir el ejercicio de las labores sindicales de la Sección Sindical de la que es miembro. La investigada #1 aporta copia de los registros de los envíos detectados al destinatario ***EMAIL.2".

La Agencia Española de Protección de Datos refleja en la resolución que el riesgo de la filtración de los datos ha podido suponer el uso ilegítimo de los mismos por parte de terceros, "pudiendo ser dichos terceros despachos de abogados y gestorías".