En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00122-2020.pdf instruido por la AEPD, se sanciona a SAUNIER-TEC, MANTENIMIENTOS DE CALOR Y FRIO, S.L.(el reclamado), por no notificar una brecha de seguridad. La sanción impuesta fue de 6.000 euros.
La reclamante presenta escrito de reclamación ante la AEPD alegando que había recibido una serie de emails solicitando una serie de cambios en sus datos personales, incluyendo su número completo de cuenta bancaria. El dominio desde el cual le llegó el correo tenía una extensión diferente, lo que indicaba que no eran emails oficiales enviados por la empresa SAUNIER-TEC. La reclamante se puso en contacto con la entidad para conocer de la brecha de seguridad y no recibió respuesta del responsable de protección de datos. La AEPD a la vista de los hechos, admite a trámite la reclamación e inicia el procedimiento sancionador contra la entidad por infringir los artículos 33 y 34 del RGPD, los cuales regulan cómo y cuándo ha de notificarse la brecha de seguridad que puedan suponer un riesgo para los derechos y libertades de las personas físicas. En este caso, la AEPD determina que, dada la categoría de datos afectados, datos bancarios y el número de afectados por la brecha, se tendría que haber notificado a los afectados.
El responsable ha de notificar a la AEPD las brechas de seguridad antes del plazo de 72 horas desde su conocimiento.
