| Resolución | PS-00116-2018 |
| Firmado | 2018-04-13T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00116/2018, se denunció que la entidad Caja Rural de Albacete, Ciudad Real y Cuenca, Sociedad Cooperativa de Crédito, permitió el acceso no autorizado a datos personales de candidatos que habían cumplimentado un formulario en su página web. Este acceso se produjo debido a un error en la configuración de seguridad de la base de datos, que permitió que cualquier usuario pudiera acceder a información sensible como nombres, apellidos, teléfonos, DNI, emails y otros datos personales.
La denuncia se basó en que, desde el 27 de noviembre de 2017 hasta el 11 de diciembre de 2017, la base de datos estuvo expuesta públicamente, lo que permitió múltiples accesos no autorizados. Además, se señaló que la entidad no tenía un contrato formal con el encargado del tratamiento de datos, lo que vulneraba las normativas de protección de datos. También se mencionó que la política de privacidad de la página web incluía información incorrecta sobre la finalidad del tratamiento de los datos y la posible cesión a terceros.
Se consideraron varias infracciones graves y leves. La infracción grave se refería a la falta de medidas de seguridad adecuadas para proteger los datos personales, lo que podría haber llevado a una sanción de hasta 300.000 euros. Las infracciones leves incluían la falta de contrato con el encargado del tratamiento y la incorrecta información proporcionada a los interesados sobre el tratamiento de sus datos, con sanciones que podían llegar hasta 40.000 euros cada una.
Finalmente, la entidad decidió pagar voluntariamente una sanción de 28.200,6 euros, haciendo uso de las reducciones previstas por el reconocimiento de responsabilidad y el pago anticipado. Este pago implicó la terminación del procedimiento sancionador y la renuncia a cualquier acción o recurso en vía administrativa contra la sanción.