Hay evidencias de que las medidas de seguridad, tanto de índole técnica como organizativas, de la entidad en relación con los datos que sometía a tratamiento, «no eran las adecuadas» cuando se produjo el fraude de cuatro millones, ahora hace dos años