Facua-Consumidores en Acción ha interpuesto una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra la compañía aseguradora Generali, tras una filtración «masiva» de datos personales de clientes. Este incidente se produjo a finales del pasado febrero y, según indica la asociación, Generali notificó la brecha de seguridad a través de un comunicado, explicando que los datos de antiguos clientes de Liberty Seguros habían quedado expuestos sin autorización.
La organización afirma que la información a la que los ciberdelincuentes accedieron incluye datos identificativos y de contacto, tales como nombres, apellidos, dirección, teléfono, correo electrónico, DNI, fecha de nacimiento, estado civil e identificación del bien asegurado, además del código IBAN de las cuentas corrientes. Facua considera la filtración «grave», dado que involucra datos «especialmente protegidos» que pueden ser utilizados para llevar a cabo fraudes bancarios.
Al haber obtenido el ciberdelincuente información personal de la víctima, puede enviarle una comunicación totalmente personalizada para que confíe en la veracidad del mensaje
Además, Facua recuerda que la AEPD ya había multado previamente a Generali con cinco millones de euros por otra filtración que afectó a 1,6 millones de personas en 2022, por lo que la aseguradora ha recurrido esta resolución en los tribunales. En su denúncia, Facua alega que la nueva brecha vulnera varios preceptos del Reglamento (UE) 2016/679, que regula la protección de datos personales. En particular, destaca el artículo 32, que exige la seudonimización y el cifrado de datos, así como medidas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas de tratamiento.
La asociación cita también el artículo 73 de la Ley Orgánica 3/2018, que clasifica como grave la falta de medidas adecuadas de seguridad en el tratamiento de datos. Según el artículo 83.4 del RGPD, las sanciones por tales incumplimientos pueden alcanzar hasta diez millones de euros o un 2% del volumen de negocio total anual de la empresa, optándose por la cantidad mayor. Por ello, Facua solicita a la AEPD que abra una investigación para determinar si Generali ha cumplido con la normativa, y que, en caso de comprobar algún incumplimiento, se inicie un nuevo expediente sancionador contra la aseguradora.
Generali, en respuesta a estas acusaciones, sostiene que el ciberataque ocurrido en febrero tuvo lugar en un contexto de aumento de este tipo de incidentes. La compañía afirma que activó «de manera inmediata» su protocolo de ciberseguridad, que permitió cerrar la brecha rápidamente. Asimismo, indican que notificaron a los afectados sobre el incidente y habilitaron un canal de contacto específico, cumpliendo con los plazos legales para informar a la AEPD y a la Dirección General de Seguros y Fondos de Pensiones. También interpusieron las denuncias pertinentes ante las Fuerzas y Cuerpos de Seguridad del Estado.
Generali enfatiza que el ataque se produjo en Generali SAU (que anteriormente era Liberty Seguros), una entidad adquirida recientemente y que opera de manera independiente a Generali España, por lo que no hay relación con el incidente de 2022. La aseguradora reitera que la sanción impuesta por esa filtración está siendo impugnada judicialmente y manifiesta su «firme compromiso» con los «más altos estándares de seguridad».
