La AEPD publica la resolución en la que se deciden archivar las actuaciones abiertas por la Subdirección General de Inspección de Datos a Mapfre. Después de examinar la actuación de esta entidad y analizando los controles y medidas que se habían implantado con anterioridad al ataque de Ransomware que afectó a sus servidores como Responsable del tratamiento de datos personales, así como durante la brecha y con posterioridad a la misma, considera que la actuación de Mapfre ha sido diligente y proporcional con la normativa sobre protección de datos.
La Agencia considera que con anterioridad a la brecha de seguridad, Mapfre disponía de medidas de seguridad razonables en función de los posibles riesgos estimados, se habían realizado auditorías de adecuación y cumplimiento del RGPD y se había definido un Plan de Auditorías, además, se habían reforzado estas medidas con motivo de la adopción de las diversas formas de trabajo en remoto para adaptarse a la actual situación de pandemia e incluso la entidad había participado activamente en la elaboración de mecanismos de autorregulación para el tratamiento de los datos personales por aseguradoras.
Del mismo modo, una vez producido el ataque, las medidas de contención y de minimización de la brecha posibilitaron una eficaz reacción frente la amenaza. La actuación de Mapfre consistió en aislar una parte de la red para evitar la propagación del ransomware, activar un Plan de Continuidad de Negocio y ejecutar un Plan de Fortificación del entorno, la restauración de sistemas y aplicaciones y una rápida comunicación, tanto al INCIBE como al CCN-CERT y a la Guardia Civil. Igualmente, el envío de notificaciones sobre la evolución de la incidencia a la AEPD, junto a una rápida comunicación con clientes, colaboradores, proveedores y empleados posibilitaron la rápida identificación, análisis y clasificación de la brecha de seguridad de datos personales.
Dado que el impacto ha sido casi nulo, como ha calificado la AEPD, ya que los datos que se han visto vulnerados han sido el identificador de usuario y contraseña de acceso a los sistemas de información de MAPFRE, y se trata de datos básicos que quedaron inutilizados tras su bloqueo y el cambio de contraseñas asociadas a los mismos, unido a que la entidad contaba con las medidas técnicas y organizativas razonables para evitar este tipo de incidencia; la Agencia procedió al archivo de las actuaciones.