Estimados Colegiados/as y Entidades Aseguradoras Colaboradoras
Como ampliación a la circular 045/2024 en relación al asunto indicado y una vez completada la información os informamos de lo siguiente:
1-Ciberataque: Se adjunta comunicado realizado por CODEOSCOPIC en el que expone claramente lo sucedido, lo que han hecho por su parte y lo que deben hacer cada uno de los afectados, en este caso los mediadores (agentes y corredores) que tengan contrato con CODEOSCOPIC para el programa de gestión TBM.
2-Comunicación a la Agencia Española de Protección de Datos (AEPD): Del contrato modelo que tenemos firmado con CODEOSCOPIC se desprende una habilitación contractual del encargado del tratamiento de datos (CODEOSCOPIC) por parte de los responsables de tratamiento (las corredurías) y no habría que hacer ninguna comunicación adicional a la Agencia Española de Protección de Datos por parte de las corredurías.
3-Pólizas CIBER y Responsabilidad Civil Profesional CODEOSCOPIC: Los responsables de la empresa han declarado el siniestro a las entidades aseguradoras correspondientes:
-Fecha de ocurrencia: 10/05/2024
-Fecha de comunicación al Call Center: 15/05/2024
-Referencia Crawford: 42181
-Referencia EXSEL: BTAL 2024/005
-Circunstancias: El día 10/05/2024 el departamento de IT de CODEOSCOPIC detectó que se había producido una brecha de datos. Advirtieron que había conexiones de un usuario propio (un técnico de credenciales que llaman “master”) fuera del horario laboral. Contactaron con este empleado que les confirmó que no era él y que esos accesos con sus credenciales eran ilegítimos.
-Situación actual: El equipo del usuario atacado ha sido aislado y se precisa su análisis forense para revisar cómo se consiguieron las credenciales. El análisis forense lo realizará GRANT THORNTON.
4-Pólizas CIBER Afectados: Los mediadores afectados que tengan contratada una Póliza CIBER deben declarar el siniestro a su entidad aseguradora para que le proteja y asesore convenientemente. Dentro de sus coberturas se incluye, entre otras, el pago de los gastos generados por el siniestro.
Los que no tengan Póliza CIBER y se les cause algún daño y/o asuman algún gasto derivado del siniestro pueden proceder a la reclamación de los mismos a CODEOSCOPIC.
5-Proveedor RGPD: Los mediadores afectados que tengan servicio de RGPD deben ponerse en contacto con su proveedor para que les protejan y asesoren debidamente en lo relativo a las acciones a llevar a cabo.
El Colegio de Mediadores de Seguros no da servicio de RGPD a los mediadores porque no es su cometido. No forma parte de la actividad colegial dar servicio de RGPD, lo que sí es preceptivo es facilitar dicho servicio a través de profesionales expertos en la materia y ayudar y acompañar a los colegiados, informando y asesorando en todo lo necesario, tal y como hacemos siempre y con esta comunicación.
Desde el CMS de ÁLAVA y BIZKAIA se facilita este servicio por cuenta de BASQUEKIDE, empresa a la que os podéis dirigir para contratarlo con unas tarifas ventajosas:
Gerente: Joseba A. ALONSO
Tfn. : 615 075 016
E-Mail: joseba.alonso@basquekide.es
Comercial: Íñigo URRUTIA SERRANO
Tfn. : 600 522 116
E-Mail: inigo.urrutia@basquekide.es
6-Información a los Clientes por parte de los Mediadores Afectados: Es OBLIGATORIO informar a los clientes de la brecha ocurrida. Como ampliación a lo ya trasladado esta comunicación se debe realizar en un plazo prudencial, es decir en estos días. Nos consta que los mediadores no tienen los correos electrónicos de todos los clientes y que los costes de un envío masivo de cartas es inviable. Por ello lo que se propone es:
-Enviar la comunicación a todos los clientes que tengan correo electrónico por e-mail.
-Enviar la comunicación a todos los clientes que NO tengamos correo electrónico por WhatsApp Business.
-En el caso de no ser posible debemos documentar el “no envío” de cara a poder demostrar a la AEPD que se trata de un esfuerzo desproporcionado (Este es uno de los eximentes del envío según el Artículo 33 del Reglamento de la RGPD).
7-Que debemos hacer con los clientes de baja o los clientes en solicitud/posibles los mediadores afectados: A los clientes en situación de baja con una antigüedad no superior a 4 años es OBLIGATORIO informar de la brecha ocurrida y a los clientes en solicitud/posibles solamente lo es si tenemos datos bancarios.
Los agentes exclusivos y vinculados afectados deben realizar la correspondiente comunicación a su entidad aseguradora para que realice las acciones correspondientes puesto que les corresponde la responsabilidad del tratamiento.
Así mismo se deberán tener en cuenta los contratos de colaboración que tenga cada mediador para que, en cada caso, se actúe como corresponda:
-Colaboradores externos de corredores/corredurías, la comunicación la debe realizar el corredor/correduría afectado/a.
-Corredores/corredurías colaboradores de corredores/corredurías, estos deberán realizar la comunicación a sus clientes correspondientes puesto que son responsables del tratamiento.
-Agentes/agencias exclusivos/as y vinculados/as colaboradores/as de otros agentes/agencias exclusivos/as y vinculados/as, estos deben realizar la correspondiente comunicación a su entidad aseguradora para que realice las acciones correspondientes puesto que les corresponde la responsabilidad del tratamiento.
La comunicación se puede realizar a través del programa de gestión que la realiza de forma rápida una vez configurado el correo y para ello adjuntamos el proceso de configuración del TBM de CODEOSCOPIC.
Para completar la Información se adjunta modelo de comunicación a los clientes que, lógicamente se puede personalizar.
ANEXO COMUNICACIÓN CODEOSCOPIC
MODELO COMUNICACIÓN CLIENTES FINALES
CONFIGURACIÓN CORREO TBM
Esperamos serviros de ayuda y estamos a vuestra disposición para lo que sea necesario.
