Active Assurances, un corredor especializado en la distribución en línea de contratos de seguros de automóviles, ha sido multado con 180,000 € por la Autoridad francesa de Protección de datos francesa. Los documentos (licencia de conducir, tarjetas de registro) para varios miles de clientes actuales o anteriores estaban disponibles en línea.

La Comisión Nacional de Informática y Libertades (CNIL) había prometido una mayor firmeza con respecto a las infracciones de la normativa europea sobre protección de datos personales (RGPD).

El jueves 25 de julio impuso una multa de 180,000 euros contra la compañía Active Insurance por no proteger suficientemente los datos personales de los usuarios de su sitio web. Esta es la primera vez que a una empresa del sector financiero (bancos y compañías de seguros) se le impone una sanción por protección de datos.

Infracción de la normativa de Protección de datos

Fundada en 2010, Active Assurances , cuyos accionistas incluyen Bpifrance y el fondo Activa Capital, es un corredor especializado en la distribución en línea de contratos de seguros de automóviles. Recientemente tuvo en sus manos Afi Assurances, que distribuye contratos de seguro médico y de previsión. El grupo de nueva creación representa una facturación anual de 20 millones de euros.

En junio de 2018, la CNIL recibió un informe de un cliente de la compañía que indicaba que, desde su cuenta, había podido acceder a los datos personales de otros clientes.

Copias de licencias de conducir y tarjetas de registro disponibles online

Una verificación en línea descubrió que las cuentas de clientes de la compañía eran accesibles a través de hipervínculos a los que se hacía referencia en un motor de búsqueda mostrado en el navegador.

Entre estos documentos: copias de licencias de conducir, tarjetas grises, registros de identidad bancaria, que podrían usarse de manera fraudulenta, pero también documentos que permiten saber si una persona ha sido objeto de una retirada del permiso de conducir.

La CNIL explica que informó inmediatamente de «esta falta de seguridad y la consiguiente violación de datos» a Active Assurances y le pidió que lo solucione. El corredor informó unos días más tarde que había adoptado medidas. Sin embargo, durante una inspección posterior en las instalaciones de la compañía, CNIL identificó otras deficiencias: las contraseñas atribuidas a los clientes por Active Assurances correspondían a sus fechas de nacimiento y fueron transmitidas sin cifrar por correo electrónico.

Parches inadecuados

Las medidas tomadas para evitar el acceso a los datos del cliente tampoco fueron suficientes. El corredor incumplió su obligación de proteger los datos personales, según lo dispuesto en el artículo 32 del RGPD.

El RGPD permite a los reguladores nacionales imponer multas de hasta el 4% de la facturación o 20 millones de euros. El importe de la multa impuesta a Active Assurances es de 180.000 euros. Para su imposición se tuvieron en cuenta varios factores:

  • la gravedad de la infracción, debido a la naturaleza de los datos y los documentos en cuestión (documentos de identidad, información relacionada con las infracciones, datos bancarios, etc.) y
  • la cantidad de personas involucradas, el defecto de seguridad ha afectado las cuentas de varios miles de clientes y personas que han rescindido su contrato con la empresa.

Esta no es la primera vez que una empresa del sector de los seguros está en la mira del CNIL. En octubre pasado, el gendarme de datos personales decidió hacer pública la notificación formal de varias empresas de los grupos de protección social. La CNIL les reprochó el uso abusivo de archivos relacionados con casi 16 millones de asegurados.

En total, la CNIL realizó 310 verificaciones en 2018. Esto dio como resultado 48 avisos formales, 13 de los cuales se hicieron públicos, y 11 sanciones, incluidas 9 pecuniarias, fueron pronunciadas. Un poco más tarde, a principios de 2019, Google recibió una multa récord de 50 millones de euros.

Francia sanciona a una aseguradora por no proteger los datos de sus clientes
4.3 (86.67%) 6 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.