Clients de MyInvestor van rebre per error informació confidencial d’uns altres clients, que incloïa el número IBAN, el valor de la cartera d’inversió, les aportacions del mes d’abril i de tot el 2026, els guanys i la rendibilitat rebuda. Una esquerda de seguretat que l’empresa va reconèixer minuts més tard amb un segon correu en què es disculpava per haver-ho enviat i mirava de tranquil·litzar els clients: “Sentim les molèsties. No cal que facis res. Pots fer cas omís d’aquest correu o eliminar-lo.” Malgrat les disculpes, el correu no incloïa informació clau com ara qui havia rebut les dades de cada client afectat, quantes persones havia afectat ni el motiu de l’errada.

Més enllà d’aquest correu de reconeixement que van enviar als clients que havien rebut una informació que no els corresponia, MyInvestor no ha fet cap altra comunicació. Tampoc no ha volgut fer cap comentari a VilaWeb sobre la qüestió ni ha respost a preguntes importants, com ara si havia notificat la vulneració de seguretat a l’Agència Espanyola de Protecció de Dades (AEPD) en un termini de setanta-dues hores, tal com exigeix el Reglament General de Protecció de Dades (RGPD). L’AEPD tampoc no ha explicat a VilaWeb si ho havien fet, amb l’argument que no ho fan mai públic. Sí que precisen que, ara com ara, no els consta cap reclamació de cap ciutadà per aquest fet.

MyInvestor és un neobanc especialitzat en carteres d’inversió impulsat per Andbank, El Corte Inglés Seguros i AXA, entre més. Opera exclusivament en plataformes digitals, sense oficines físiques. El 2025 va tenir un volum de negoci de 13.817 milions d’euros i va assolir els 750.000 clients. No tots els clients van rebre correus amb informació privada que no els pertocava, però MyInvestor no aclareix quants van resultar afectats per l’incident.

Què havia d’haver fet MyInvestor quan es va adonar de l’errada?

Tant l’RGPD com la política de protecció de dades de MyInvestor deixen clar que, així que són conscients de la filtració de dades confidencials, cal fer-ho saber a l’AEPD en un termini màxim de setanta-dues hores. També havia d’haver notificat els clients afectats –tant els que van rebre informació que no els pertocava com els que van ser exposats– amb un missatge sobre la descripció clara de la vulneració de seguretat, la informació de contacte del delegat de protecció de dades, les possibles conseqüències i les mesures preses.

La notificació a l’afectat és obligatòria quan l’esquerda implica “un risc elevat” per als seus drets. És l’empresa responsable que ha de definir què és un risc elevat i què no, però l’RGPD estableix com a casos de risc aquells en què, per exemple, pot implicar la usurpació d’identitat o el frau, o pèrdues financeres.