Soy cliente de Heymondo (SMART INSURANCE CORREDURÍA DE SEGUROS, S.L.). Hace unas semanas, mientras gestionaba un reembolso en su web, descubrí por error que simplemente cambiando un número en la dirección de la página (URL) podía acceder a documentos de otros clientes, como copias de DNI e informes médicos.
Al comprobar este comportamiento, entendí que era posible acceder a información sensible de otros usuarios sin autorización. De buena fe, informé inmediatamente a la empresa para alertarles del fallo de seguridad. Al principio me respondieron que no habían detectado ningún problema, pero tras insistir y aportarles pruebas, el departamento de Compliance me confirmó el 21 de abril que existía una configuración que permitía el acceso indebido y que ya había sido corregida.
Desde ese momento la empresa ha dejado de responder a mis consultas. He intentado obtener información sobre lo ocurrido con mis propios datos y sobre si otras personas pudieron acceder a ellos, pero la única respuesta ha sido el cierre sistemático de mis tickets de soporte sin ofrecer explicaciones.
Por la naturaleza del fallo, considero que cualquier persona que haya abierto un ticket de soporte en Heymondo podría haberse visto potencialmente afectada, ya que el problema permitía el acceso no autorizado a información almacenada en su sistema. También existe la posibilidad de que estos datos hayan sido accedidos de forma automatizada o mediante scraping desde que existía la vulnerabilidad, sin que pueda concretarse desde cuándo.
Esta situación me genera una gran preocupación e incertidumbre, especialmente por tratarse de datos médicos y personales altamente sensibles que la empresa custodia.
¿Qué solicito?
Solicito la ayuda de la OCU para que medie con la empresa y se me compense por los daños inmateriales sufridos. De acuerdo con el Reglamento de Protección de Datos y sentencias recientes, el temor fundado a que mis datos médicos hayan sido vistos por terceros y la pérdida de control sobre mi privacidad constituyen un perjuicio que debe ser reparado.
Además, solicito que se valore si este fallo ha podido afectar a más usuarios, dado que la empresa reconoció la existencia de una configuración que permitía el acceso indebido en su herramienta de soporte, y si se han adoptado las medidas necesarias para notificar a todas las personas potencialmente afectadas.
