Multa de 600.000 euros tras el envío erróneo de datos personales a 354 destinatarios

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Ibermutua, Mutua Colaboradora con la Seguridad Social Nº 274, con una multa de 600.000 euros tras una grave filtración de datos personales que afectó a 3.395 personas. La resolución de la AEPD señala que Ibermutua vulneró el principio de integridad y confidencialidad del Reglamento General de Protección de Datos (RGPD) al no garantizar la seguridad de la información manejada en su plataforma digital.

El incidente, ocurrido en julio de 2024, se originó por un error en la programación del sistema de notificación de Ibermutua Digital Empresas/Asesorías. Este fallo provocó el envío erróneo de archivos con datos personales a 354 destinatarios no autorizados, entre los que se encontraban empresas y asesorías. La información expuesta incluía nombre, apellidos, número de afiliación a la Seguridad Social, datos sobre bajas laborales y prestaciones económicas, además de detalles sobre accidentes laborales y bases de cotización. Estos datos especiales o sensible cuyo tratamiento requiere de una protección reforzada, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona.

A raíz de la brecha, Ibermutua adoptó una serie de medidas correctivas, como la restricción del envío de múltiples archivos adjuntos, la verificación de los destinatarios y la notificación del incidente a las autoridades y a los afectados. Sin embargo, la AEPD consideró que estas medidas fueron implementadas tras la filtración y no evitaron que ocurriera en primer lugar. Inicialmente, la sanción propuesta fue de un millón de euros, pero se redujo a 600.000 euros después de que la mutua reconociera su responsabilidad y realizará el pago voluntario.

¿Qué hacer para prevenir brechas de seguridad y cómo actuar cuando se producen?

Para comprender la gravedad del incidente y las lecciones que deben extraerse, consultamos a Carmen Aguilera, abogada experta en protección de datos en Grupo Atico34, quien destaca la importancia de implementar controles rigurosos en el manejo de información sensible.

«Este caso evidencia un problema recurrente en muchas empresas: la falta de medidas de seguridad proactivas. La proactivad y la implantación de medidas de seguridad reduce el riesgo empresarial al prevenir amenazas que puedan afectar a la confidencialidad, integridad y disponibilidad de la información

 Ibermutua actuó después del incidente de forma reactiva, pero una estrategia de prevención adecuada habría evitado la filtración desde un inicio», explica Aguilera.

Desde Atico34 identifican tres principales factores que contribuyeron a la filtración, empezando por el fallo en la programación del sistema de notificación, el error técnico que permitió la concatenación de archivos adjuntos en correos electrónicos pudo haberse detectado con pruebas rigurosas antes de implementar cambios en el sistema.

A esto hay que sumar la falta de controles adicionales en el envío de información. La ausencia de filtros para garantizar que los destinatarios solo recibieran los datos pertinentes es un fallo crítico en la seguridad de la información. Por último, cabría citar la insuficiente supervisión de la seguridad en el tratamiento de datos. Aunque Ibermutua realizó análisis de riesgos y auditorías, no contaba con una revisión en tiempo real que detectara anomalías antes de que los datos fueran enviados.

Ante este tipo de incidentes, Aguilera subraya la necesidad de una estrategia integral de protección de datos para evitar filtraciones y otros fallos de seguridad. Uno de los pilares fundamentales, explica, es la realización de pruebas exhaustivas antes de implementar cualquier cambio en los sistemas informáticos. «Cualquier modificación en la infraestructura digital de una empresa debe pasar por múltiples niveles de validación para evitar fallos inesperados», remarca.

La protección de la información también debe reforzarse mediante el uso de encriptación y acceso restringido a los datos sensibles. «Si la información de los trabajadores hubiera estado protegida con cifrado avanzado y accesible solo a usuarios autorizados, la filtración no habría tenido el mismo impacto», añade.

Otro aspecto clave es la automatización de controles que permitan verificar los destinatarios antes del envío de datos. «Los sistemas de comunicación internos deben incluir validaciones previas a la remisión de información, asegurando que cada dato llega al receptor correcto», apuntan desde Atico34.

Además de las medidas tecnológicas, la formación y concienciación sobre la normativa y políticas de seguridad de los empleados en materia de ciberseguridad y protección de datos es crucial. Muchas empresas invierten en software, pero descuidan el factor humano. Capacitar a los equipos de IT y administrativos en la detección de errores y medidas de seguridad es clave para evitar incidentes.

Obviamente, contratar empresas de protección de datos como Grupo Atico34 supone una ayuda casi imprescindible en los tiempos que corren, pero también se necesita que las empresas tengan el interés en adoptar una postura proactiva como responsables de sistemas de gestión de la información y esten dispuestas a adaptarse a las exigencias del Reglamento.

Para terminar, desde Grupo Atico34 se valora dicha resolución de la AEPD como un mensaje contundente a todas las organizaciones que manejan datos personales: la seguridad de la información no es opcional. «Este tipo de sanciones no solo impactan económicamente, sino que pueden afectar la reputación de una empresa. Contar con el respaldo de expertos en protección de datos es fundamental para prevenir errores que pueden salir muy caros».