Santander moet in 2024 4 miljoen Chileense klanten compenseren voor datadiefstal

Het Chileense filiaal was, samen met dochterondernemingen in Spanje en Uruguay, een van de drie dochterondernemingen die getroffen werden door de cyberaanval die de groep een jaar geleden onderging.

Santander krijgt te maken met de eerste collectieve claims voor schadevergoeding van klanten die getroffen zijn door de cyberaanval van mei 2024, waarbij een groep hackers persoonlijke gegevens stal van klanten van de bank in Spanje, Chili en Uruguay, en van de meer dan 200.000 werknemers van de groep.

De Nationale Consumentendienst van Chili (SERNAC), onderdeel van het ministerie van Economie, is een vrijwillige collectieve procedure gestart om Santander te verplichten "getroffen consumenten te compenseren en maatregelen te nemen om te voorkomen dat dit in de toekomst opnieuw gebeurt."

Volgens SERNAC werden bij het cyberincident van vorig jaar de persoonlijke gegevens van bijna vier miljoen Chileense consumenten openbaar gemaakt.

Santander moet nu beslissen of het aan dit proces wil deelnemen, dat normaal gesproken drie maanden duurt.

"Op 10 mei 2024 kwam [Santander] erachter dat onbevoegde derden toegang hadden gekregen tot zijn databases, waardoor de persoonsgegevens van klanten van Banco Santander Chile openbaar werden. Dit bewijs wijst erop dat de bovengenoemde gegevens niet adequaat waren beveiligd, in overeenstemming met de huidige regelgeving", aldus de resolutie van het agentschap.

"Gezien de ernst van de beschreven gebeurtenissen is er sprake van een schending van de consumentenrechten. De handelingen van Banco Santander Chile vormen immers enerzijds een schending van de professionaliteitsplicht die zij had moeten nakomen bij het beschermen van de persoonsgegevens van haar eigenaren, en anderzijds een schending van de fundamentele rechten van miljoenen consumenten, wier recht op de veiligheid van hun persoonsgegevens en hun recht op een passende compensatie zijn aangetast. Dit alles rechtvaardigt de tussenkomst van deze openbare dienst", aldus het persbericht.

SERNAC streeft ernaar "de compensatie en/of schadeloosstelling te verkrijgen die overeenkomt met de gedupeerde consumenten, met correcties en rente, indien van toepassing, via een oplossing die evenredig is aan de veroorzaakte schade, op basis van objectieve elementen. Banco Santander Chile moet daarom alle nodige achtergrondinformatie en gegevens verstrekken voor haar analyse en evaluatie door deze Dienst."

Als het agentschap akkoord gaat met deelname aan de procedure, dringt het erop aan dat Santander "een voorstel voor een oplossing indient dat, naast maatregelen om het gedrag te stoppen, ook een model bevat voor de berekening van de schadevergoeding voor elk van de gedupeerde consumenten."

Tot op heden hebben de autoriteiten in Spanje en Uruguay , de andere twee landen waar klantgegevens zijn buitgemaakt, nog geen actie ondernomen tegen de bank.

Wat betreft werknemersgegevens is de Amerikaanse dochteronderneming, conform de Amerikaanse wetgeving, gedwongen om haar personeelsbestand van circa 13.000 werknemers twee jaar dekking te bieden tegen identiteitsdiefstal of ongeautoriseerde overdrachten als gevolg van de cyberaanval.

Er zijn geen openbaar gemaakte class action-rechtszaken aangespannen door klanten of werknemers.