Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 600 000 euro mot Ibermutua Mutuo Colaboradora Con La Seguridad Social Num.274 för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att försäkringsbolaget Ibermurtua digitaliserar och underlättar hanteringen av frågor och klagomål som rör huruvida arbetstagare i företag som använder plattformen är berättigade till ekonomiska förmåner när de blir sjuka. Under 2024 innehöll ett veckovis e-postmeddelande som skickades av Ibermurtua ett kodningsfel, vilket ledde till att ytterligare bilagor oavsiktligt inkluderades i e-postmeddelanden som skickades till partnerföretag. Personuppgifter om 3 395 registrerade, inklusive känsliga personuppgifter, skickades till totalt 354 mottagare. Åtta klagomål lämnades in till AEPD.
AEPD konstaterade att Ibermurtua brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR som kräver att personuppgifter behandlas på ett sätt som garanterar deras säkerhet. AEPD betonade det stora antalet e-postmeddelanden som skickades av Ibermurtua och var kritisk till bristen på motsvarande säkerhetsåtgärder. AEPD noterade att både volymen av e-postmeddelanden som skickades och känsligheten hos personuppgifterna i fråga motiverade kontrollmekanismer för att förhindra eller upptäcka fel i konfigurationen av sändningsförfarandet för e-postmeddelanden.
AEPD ansåg att överträdelsen var av allvarlig art, både med tanke på det stora antalet registrerade som var inblandade i överträdelsen och med tanke på att överträdelsen omfattade känsliga personuppgifter. Sanktionsavgiften uppgick ursprungligen till 1 000 000 euro, men sänktes till 600 000 euro efter att Ibermurtua gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.