Un denunciante de violación de datos dijo que los archivos de NatWest debajo de su cama contienen detalles actuales del cliente, en contra de las afirmaciones del banco de que es información histórica.
La exempleada del Royal Bank of Scotland (RBS), parte de NatWest Group, ha estado en disputa con el banco durante más de una década por los archivos confidenciales de datos de clientes almacenados en su casa.
Para probar la afirmación de NatWest de que los datos de los clientes son históricos, la ex empleada, ahora controladora de datos registrada, afirmó que ha establecido que algunos de los datos pertenecen a clientes actuales.
En 2006, los datos se enviaron a la casa del trabajador como parte de un acuerdo de trabajo, en violación de las normas de protección de datos. A la trabajadora se le dio la oportunidad de trabajar desde casa y, siguiendo las instrucciones del banco, utilizó la información bancaria de los clientes para ayudarla a generar negocios de hipotecas y préstamos. Durante tres años, recibió miles de documentos en papel, muchos de los cuales, unos 1600, todavía están almacenados en su casa.
Cuando a la trabajadora le preocupó que el arreglo pudiera violar las reglas de protección de datos, le puso todo por escrito a su gerente y, sin darse cuenta, denunció las laxas prácticas de seguridad de datos del banco.
Se le aconsejó que obtuviera un recibo del banco antes de devolver la información para proteger su propia posición de posibles litigios futuros.
El ex trabajador fue despedido por el banco en 2009 y desde entonces ha estado llamando al banco para recoger los archivos.
En 2012, la Oficina del Comisionado de Información (ICO) investigó el caso y le dio una palmada en la muñeca al banco por el arreglo.
El ICO dijo que si bien este incidente fue un problema “local” a nivel de sucursal, RBS no mantuvo el cumplimiento del séptimo principio de protección de datos durante el período en cuestión: “Ambas partes fueron informadas de esta decisión. Esta oficina no tomó más medidas y el caso se cerró y permanece cerrado”.
El banco dijo que quiere que se le devuelvan los archivos, pero que no aceptará las condiciones establecidas para proteger al ex trabajador de posibles acciones futuras por parte de los clientes del banco.
NatWest ha afirmado que los datos son histórico y que no ha habido detrimento del cliente.
En 2019, el entonces director ejecutivo de RBS, Ross McEwan, envió un correo electrónico a un parlamentario que investigaba el caso y declaró: “Para aclarar la posición del banco con respecto a la devolución de los documentos, el interés del banco no radica en los documentos en sí, que son históricos. y es muy probable que quede obsoleto”.
El banco le dijo a Computer Weekly que no cree que lo que describe como “documentación histórica” represente ningún riesgo para los clientes.
Pero la denunciante dijo que ha establecido que algunos de los archivos de datos se relacionan con clientes existentes y ha informado al banco y al ICO.
“He puesto a prueba la afirmación del banco de que estos datos son históricos y que no representan ningún riesgo para los clientes, y he establecido que algunos de los datos son clientes en vivo/existentes. Inmediatamente informé al banco y al ICO de esto”, dijo el ex trabajador de RBS a Computer Weekly.
El ICO ha trabajado con ambas partes desde 2012 para la devolución segura de los archivos, pero las negociaciones fracasaron y el ICO finalizó su participación en julio de 2021.
Computer Weekly preguntó a NatWest por qué cree que la información es histórica, a pesar de no tener ningún registro de los datos. “No tenemos nada más que agregar a nuestros antecedentes y declaración”, dijo.
La declaración a la que se refirió el banco, que ha utilizado antes, no responde a la pregunta que se le planteó. Decía: “Esta exempleada fue despedida en 2009 por mala conducta grave como resultado de su reiterada negativa a devolver la información del cliente. No ha habido perjuicio para los clientes y el banco no cree que esta documentación histórica suponga ningún riesgo para los clientes.
“La situación podría haberse resuelto en cualquier momento de la última década mediante la devolución de la documentación, como afirmó haber hecho la exempleada en 2012. En cambio, ha buscado el pago y las concesiones del banco a cambio de los documentos”.
El ex trabajador lo niega con vehemencia. “NatWest me acusó de exigir dinero a cambio de los documentos. Esto no es verdad. Lo único que le he pedido al banco es que me den un recibo adecuado a cambio de la devolución de los documentos, que he cuidado con esmero durante 14 años, eso me da tranquilidad”, dijo.
“Necesito saber que no habrá repercusiones, por lo que el banco me pidió que hiciera durante mi empleo, o una vez que devuelva los documentos. El banco no ha actuado exactamente de manera justa en los últimos 14 años”.
Como parte de la investigación de ICO en 2012, el ex trabajador entregó miles de archivos al regulador, que posteriormente fueron devueltos a NatWest. Sin embargo, conservó una caja que contenía los 1.600 expedientes de clientes para presentar sus pruebas ante cualquier procedimiento judicial, de lo que tuvo conocimiento el ICO.
En febrero de este año, un intento de allanamiento de morada en su casa puso de manifiesto la precaria seguridad de los documentos confidenciales.
Computer Weekly preguntó al ICO si su postura cambiaría si los datos fueran datos en vivo, pertenecientes a clientes actuales.
Un portavoz de ICO dijo: “El ICO ha brindado asesoramiento sobre cuestiones de protección de datos a las partes involucradas en una disputa laboral que se remonta a 2009. Estamos satisfechos de que el riesgo potencial que se presenta para las personas no justifica una acción adicional, a pesar de que hubo un cambio en el ley [GDPR] desde ese tiempo.”
En su última correspondencia con el ICO, el director de servicios legales, James Moss, le dijo a la exempleada que se pusiera en contacto con el banco.
Ha escrito a NatWest siete veces desde principios de marzo, sin respuesta desde que Craig Berry, jefe de litigios e investigaciones de NatWest, le dijo: “Su sesión informativa continua con los periodistas no está ayudando en ningún aspecto”.
El ex trabajador le dijo a Computer Weekly: “Me ha llevado más de una década de mi vida tratar de que el banco haga lo correcto. Esto ha venido con devastadoras consecuencias profesionales y humanas para mí. Mi salud mental se ha visto afectada como resultado de intentar desafiar al banco; mi carrera fue destruida”.
Ella dijo que identificó una violación de datos grave en 2008, que cree que puso a los clientes del banco en riesgo de ser atacados. “No sé si los gerentes de los bancos que fueron responsables alguna vez fueron sancionados por la divulgación de información tan sensible. Por razones que solo el banco sabrá, decidió despedirme del servicio en lugar de protegerme por hablar”, dijo.
“La alta gerencia actual de NatWest no ha entablado ninguna conversación conmigo y siento toda la responsabilidad de proteger estos datos. No quiero que el banco me persiga, quiero que el banco ayude a resolver una situación que creó”.
