| Resolución | PS-00108-2025 |
| Firmado | 2025-08-22T00:00:00Z |
| Enlace | 📋 |
El procedimiento sancionador se inició debido a una brecha de seguridad en BANCO INVERSIS, S.A., que afectó a datos personales de aproximadamente 45.000 clientes finales y potencialmente a 2 millones de clientes institucionales. La brecha permitió el acceso no autorizado a datos identificativos como nombres, apellidos, fechas de nacimiento, números de DNI/NIE/Pasaporte y domicilios fiscales.
La denuncia se basó en la vulneración del principio de integridad y confidencialidad de los datos personales, conforme al artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD). La entidad fue acusada de no haber implementado medidas técnicas y organizativas adecuadas para proteger los datos, lo que permitió el acceso indebido.
BANCO INVERSIS reconoció su responsabilidad y procedió al pago voluntario de la sanción propuesta, que fue reducida en un 40% debido a este reconocimiento y al pago anticipado. La sanción definitiva ascendió a 6.000 euros. La entidad también adoptó medidas correctivas para evitar futuras brechas, incluyendo la eliminación de la exención de 90 días para la solicitud del código OTP en el proceso de autenticación y la mejora de las auditorías de seguridad.
La resolución declaró la terminación del procedimiento sancionador, confirmando la sanción impuesta y la efectividad de las reducciones aplicadas. La entidad fue notificada de la resolución, que se considera firme en vía administrativa y plenamente ejecutiva a partir de su notificación.