La Agencia Española de Protección de Datos (AEPD) ha sancionado a Unicaja con 400.000 euros por graves deficiencias en el control de acceso a su sistema de videovigilancia, tras constatar que los empleados de su central receptora de alarmas accedían a imágenes sensibles mediante un único usuario genérico compartido, sin trazabilidad individual.
Según detalla Confilegal.com, 11 empleados tenían acceso a las grabaciones de los servicios de videovigilancia de las oficinas, locales y sedes de Unicaja, pero todos accedían con el mismo usuario. Por lo tanto, resultaba imposible conocer quién era la persona que consultaba las imágenes en cada uno de los accesos.
En su resolución, la AEPD señala que la externalización del servicio no exonera al responsable del tratamiento, y que Unicaja debe verificar la implantación real y continuada de las medidas técnicas y organizativas, especialmente en tratamientos de alto impacto como la videovigilancia bancaria.
Servicio externalizado
En 2023, esta entidad bancaria confió en la empresa Grupo Control Empresas de Seguridad las funciones de la Central Receptora de Alarmas (CRA), además de funciones de seguridad privada, como el procesamiento, análisis, gestión y custodia de imágenes captadas por los sistemas de videovigilancia de las oficinas, locales y edificios de Unicaja Banca.
Los servicios de inspección de la Agencia Española de Protección de Datos comprobaron que las once personas que se encargaban de realizar estas funciones accedían al software del sistema de videovigilancia con un único usuario y contraseña, y no de manera personalizada.
Tras la apertura del expediente sancionador, Unicaja alegó en su defensa que el responsable del tratamiento era Grupo Control Empresas de Seguridad, ya que era esta empresa la que se encaraba de las grabaciones.
Sin embargo, la AEPD deja claro en su resolución que la externalización de un servicio no exime a la entidad principal de los fallos al encargado si no verifica el cumplimiento real o no se implementan controles efectivos. En su escrito señala que «Unicaja es la responsable del tratamiento, es el garante final de que los datos se traten de forma segura. Delegar la ejecución no exime de la responsabilidad de verificar el cumplimiento. La falta de implementación de controles de acceso lógico efectivos es responsabilidad última de la entidad bancaria».
En dicha resolución explica que ha constatado «la ausencia de las medidas técnicas y organizativas mínimas exigidas por el propio contrato y por la debida gestión de riesgos de datos sensibles que impone la normativa. La falta de trazabilidad intrínseca al usuario genérico es, per se, una medida inadecuada al riesgo, contraviniendo directamente el artículo 32 del RGPD».
Por ello, la agencia ha impuesto a Unicaja una multa de 500.000 euros por vulnerar el artículo 32 del RGPD, una cuantía que se ha reducido a 400.000 euros al reconocer el banco su responsabilidad y hacer el pago voluntario.
Fuente: facua.org