La Agencia Española de Protección de Datos ha multado a Openbank con 2,5 millones de euros por no haber aplicado medidas "reforzadas" para asegurar los principios de protección de datos, así como por la falta de las medidas técnicas y organizativas "apropiadas" para garantizar un nivel de seguridad "adecuado" al riesgo en el momento en el que ocurrieron los hechos, en julio de 2021, según la resolución consultada por Europa Press.
Esta sanción se produce después de que un cliente de Openbank, al que la entidad solicitaba que declarara el origen de varias cantidades recibidas en su cuenta bancaria, según la normativa contra el blanqueo de capitales, reclamara a la entidad algún mecanismo para remitir la información solicitada de manera cifrada o mediante carga directa en el portal web, ya que la única opción válida era la de remitirla por correo electrónico.
Tras realizar una investigación, Protección de Datos concluyó que el correo electrónico era el "único canal" de comunicación para el envío de documentos ofrecido a los clientes en ese momento. El mecanismo consistía en contestar al propio correo electrónico, un medio de envío no "adecuado" en función del riesgo que podía existir para los derechos y libertades de los interesados.
Además, señala que tampoco se trata de un medio apropiado para garantizar un nivel de seguridad adecuado al riesgo en el envío de documentación que contenga datos personales relacionados con la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, que requieren "una especial protección", teniendo en cuenta la normativa de prevención de blanqueo de capitales, el carácter de los datos que se están tratando y el RGPD.
Del mismo modo, la resolución indica que la información solicitada por Openbank al cliente tiene la consideración de "dato financiero". Por tanto, exigía la aplicación de una serie de "medidas reforzadas" para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.
Así, la agencia señala que este caso no trata de que debieran implantarse medidas de seguridad "de alto nivel", sino que se trata de que debían implantarse medidas que garantizaran un nivel de seguridad "adecuado" al riesgo para los derechos y libertades de las personas físicas, como informa Europa Press.
La resolución destaca, además, que no fue hasta octubre de 2022 cuando los protocolos de comunicación y evaluación de impacto y seguimiento de clientes y operaciones sensibles han incorporado de forma específica que los clientes puedan aportar la documentación solicitada a través de la web de Openbank, a través del área privada de cliente con DNI y clave de acceso.
Por ello, la Agencia de Protección de Datos ha considerado que Openbank ha cometido una infracción por vulneración de los artículos 25 y 32 del RGDP, con agravantes por naturaleza, gravedad y duración de la infracción, por "internacionalidad o negligencia", por la categoría de los datos afectados y por la vinculación de la actividad del infractor con el tratamiento de datos, de tal manera que la sanción conjunta es de 2,5 millones de euros.
Contra la resolución, cabe interponer, potestativamente, recurso de reposición ante la dirección de la agencia o bien, directamente, recurso contencioso administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional. Al respecto, Openbank ya ha presentado recurso contra la decisión de Protección de Datos, según ha indicado a Europa Press.