La aseguradora italiana Generali ha sido sancionada con una multa de 5 millones de euros por la Agencia Española de Protección de Datos (AEPD) debido a una grave brecha de seguridad ocurrida en octubre de 2022. La filtración afectó a los datos personales de aproximadamente 1,6 millones de personas, incluyendo tanto clientes actuales como antiguos de la entidad.
La brecha se originó tras un ataque a la aplicación de consulta de clientes, en el cual un corredor asociado a Generali utilizó sus credenciales para ejecutar un ataque automatizado de fuerza bruta contra el formulario, lo que permitió acceder a datos personales. Entre la información comprometida se encontraban datos como nombres, apellidos, DNI, direcciones, números de teléfono, estado civil e incluso el IBAN de cuentas bancarias. Además, se detectó la venta de una base de datos de ex-clientes a través de un grupo de Telegram, lo que corroboró la filtración de datos.
Tras la detección del incidente, Generali notificó la brecha a más de 24.000 personas afectadas y a más de 1,5 millones de ex-asegurados que podrían haber sido comprometidos. Sin embargo, la AEPD identificó varias deficiencias en la gestión de la seguridad y la protección de datos, además, de la falta de implementación de un análisis de riesgos o de una evaluación de impacto sobre la protección de datos, a pesar de que el tratamiento de grandes volúmenes de información sensible implicaba un alto riesgo para los derechos de los afectados.
La resolución de la AEPD subraya que Generali ha violado varios principios clave del Reglamento General de Protección de Datos (RGPD), como la confidencialidad de los datos (art. 5.1.f), la protección de los datos desde el diseño (art. 25), la implementación de medidas técnicas y organizativas de seguridad adecuadas (art. 32) y la falta de evaluación de impacto (art. 35).
A pesar de que la aseguradora presentó alegaciones, como el bajo nivel de perjuicios (ya que apenas un interesado reclamó una compensación) y la ausencia de datos sensibles comprometidos, la AEPD desestimó sus argumentos y confirmó la sanción.
Finalmente, Generali procedió a abonar la multa de 4 millones de euros por pronto pago, y se le ha instado a implementar medidas correctivas para evitar futuros incidentes y cumplir con las normativas de protección de datos.