ICO pone fin a su participación en la disputa entre NatWest Bank y el denunciante de violación de datos

La Oficina del Comisionado de Información (ICO) ha terminado su participación en una disputa entre NatWest y un ex trabajador de la sucursal sobre archivos confidenciales de clientes almacenados en la casa del ex empleado.

La información del cliente, en formato papel, fue parte de un acuerdo de trabajo desde casa con el gerente de sucursal del ex trabajador, que se desarrolló de 2006 a 2009.

Pero alrededor de 1.600 archivos en papel que contienen datos confidenciales del cliente permanecen en la casa del ex miembro del personal, que ha estado tratando de devolverlos durante más de 10 años. Estos incluyen documentos con nombres de clientes, direcciones y detalles de contacto, así como información de resumen / historial de la cuenta.

En 2012, después de una investigación, la ICO le dio una palmada en las muñecas al banco por el acuerdo y desde entonces ha estado aconsejando al ex empleado sobre la devolución segura de los archivos de los clientes.

Según la ex trabajadora, que quiso permanecer en el anonimato, el ICO le informó en julio de 2021 -casi una década después de que se involucró- que no podía hacer nada al respecto porque solo la información electrónica estaba cubierta por la Ley de Protección de Datos de 1998 y no en papel. -basada en la información, el formato en el que la tenía.

Computer Weekly preguntó al ICO por qué no le había dicho al ex trabajador que no podía hacer nada antes, pero se negó a comentar.

El ICO confirmó a Computer Weekly que había terminado su participación en la disputa. “La ICO ha brindado asesoramiento sobre cuestiones de protección de datos a las partes involucradas en un conflicto laboral que se remonta a 2009.

Más contenido para leer:  Las unidades del Reino Unido implementan nuevas políticas de tráfico de IP para combatir el ransomware

“Estamos satisfechos de que el riesgo potencial que representan las personas no justifica más acciones, a pesar de que se ha producido un cambio en la ley [General Data Protection Regulation] desde ese tiempo.”

GDPR, que se introdujo en 2018, significa que los bancos deben informar a los clientes sobre posibles violaciones de sus datos.

La ex empleada había trabajado en una sucursal de NatWest desde 1998, vendiendo hipotecas y préstamos, y se le ofreció la oportunidad de trabajar desde casa por motivos personales desde 2006. Siguiendo las instrucciones del banco, usó la información bancaria del cliente para ayudarla a generar hipotecas y préstamos comerciales.

Como parte de la configuración de trabajo, que continuó hasta 2009, recibió de su gerente documentos en papel con información del cliente. Estos se recogieron en la sucursal semanalmente o se enviaron a través de su buzón en varias ocasiones.

Cuando la ex trabajadora se dio cuenta de que el departamento de recursos humanos no estaba al tanto de su arreglo laboral, se puso en contacto con una línea de asesoramiento dentro del banco y explicó sus preocupaciones sobre la información almacenada en su casa. Se le pidió que le pusiera todo por escrito a su gerente, lo que hizo, sin darse cuenta, denunciando las prácticas laxas de seguridad de datos.

Luego de pasar por el procedimiento de quejas del banco, fue despedida en mayo de 2009 por no devolver la documentación. El motivo oficial de su despido fue una falta grave y una “desobediencia flagrante después de una instrucción razonable de un empleado de mayor jerarquía”.

Más contenido para leer:  Los equipos cibernéticos de Ucrania respondieron a más de 2000 ataques en 2022

Posteriormente, un tribunal laboral confirmó la decisión.

La ex empleada dijo que la FSA le aconsejó que obtuviera un recibo del banco antes de devolver la información para proteger su propio puesto contra posibles litigios futuros.

En 2009, la ICO le dijo a RBS: “No es irrazonable que ambas partes firmen un compromiso / recibo que reconozca que [the former employee] ha entregado todos los datos del cliente en su poder, y el banco reconoce que lo que ha entregado es lo que tenía en su poder, especialmente porque el banco no tiene registro de qué información se le dio a [her]. “

Once años después, NatWest finalmente accedió a entregar un recibo por los documentos, pero la ex trabajadora le pidió al banco que la indemnizara por futuras reclamaciones relacionadas con el almacenamiento de la información en su casa y el trabajo que se le pidió que hiciera, lo cual se negó. que hacer.

En su investigación de 2012, la ICO descubrió que el banco no había cumplido con las normas de protección de datos al permitir que el trabajador de la sucursal trabajara desde casa, pero no se tomaron más medidas.

La ICO dijo en ese momento: “Si bien este incidente fue un problema ‘local’ a nivel de sucursal, RBS no mantuvo el cumplimiento del séptimo principio de protección de datos durante el período en cuestión. Ambas partes fueron informadas de esta decisión. Esta oficina no tomó más medidas y el caso se cerró y permanece cerrado “.

Como parte de esa investigación, el ex trabajador entregó miles de archivos al ICO, que posteriormente fueron devueltos a NatWest. Sin embargo, conservó una caja que contenía 1.600 archivos de clientes como prueba para cualquier procedimiento legal, del cual la ICO tiene conocimiento.

Más contenido para leer:  TfL bajo fuego por confiar en los datos de verificación facial de Uber en las decisiones de licencia

El ex empleado está ansioso por devolver los archivos, pero quiere ser indemnizado contra futuras reclamaciones de clientes anteriores y actuales de NatWest. Las negociaciones se han estancado y la ICO ha retirado su apoyo consultivo.

Un portavoz de NatWest Group dijo: “Esta ex empleada fue despedida en 2009 por mala conducta grave como resultado de su repetida negativa a devolver la información del cliente.

“El banco entendió que toda la documentación había sido devuelta, a través del ICO, en 2012. Posteriormente se supo que esto no era cierto. En 2019, la ex empleada alegó que, de hecho, había retenido documentación adicional.

“El banco continúa intentando recuperar esta información. Al igual que con la documentación recibida en 2012, no ha habido ningún perjuicio para el cliente y no hay preocupaciones de que se haya compartido con otras partes “.

El abogado de informática Dai Davis preguntó por qué el banco no recibe una orden judicial para que se devuelvan los documentos. “El banco probablemente ha tomado la decisión de que, a fin de cuentas, no vale la pena. Los datos están obsoletos y no es realmente un riesgo ”, dijo.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales