SANCIÓN MILLONARIA DE PROTECCIÓN DE DATOS

Multa de 5 millones a BBVA por incumplimiento de la normativa de protección de datos

La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una sanción de cinco millones de euros a la entidad BBVA por incumplir varios artículos del Reglamento General de Protección de Datos (RGPD – UE 679/2016). La entidad bancaria ha tratado los datos personales de sus clientes sin consentimiento expreso e inequívoco de los mismos, y tampoco les ha proporcionado información suficiente y clara sobre ese tratamiento. En concreto, según establece la resolución dictada, la entidad financiera incumplió el principio de transparencia establecido en los artículos 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del mismo Reglamento. El origen de este procedimiento se encuentra en las quejas de diversos usuarios, que interpusieron reclamaciones ante la AEPD porque recibieron comunicaciones comerciales por parte de la entidad financiera.

En virtud del mencionado artículo 6 RGPD, se impone a las organizaciones la obligación de obtener el consentimiento expreso de los interesados (en este caso clientes), para poder tratar sus datos personales.

Sin embargo, el formulario que utiliza BBVA para recabar el consentimiento de sus clientes exige que estos indiquen que se oponen al tratamiento de sus datos para el envío de publicidad personalizada, etc. Si el cliente no marca esta casilla, se produciría un consentimiento tácito, lo cual resultaría contrario a la nueva normativa. Por esta infracción, calificada como muy grave, la AEPD sanciona al banco con tres millones de euros.

Del mismo modo, la AEPD considera acreditado que el banco también incumplió lo previsto en los artículos 13 y 14 del Reglamento. Estos artículos establecen que las empresas deben suministrar a los interesados la información “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Según la propia resolución: “BBVA no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización. En concreto, la AEPD señala que el método de BBVA de informar a sus clientes se basa en “formulaciones vagas”. Por la vulneración de estos artículos, se impone una multa de dos millones de euros, por lo que el montante total de la sanción se eleva a cinco millones de euros.

Algunas de las circunstancias agravantes que menciona la resolución de la AEPD son:

  • la naturaleza, gravedad y duración de la infracción;

  • la intencionalidad o negligencia apreciada en la comisión de la infracción;

  • el hecho de que la entidad no tiene implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, de modo que la infracción no es consecuencia de una anomalía en el funcionamiento de dichos procedimientos, sino un defecto del sistema de gestión de los datos personales diseñado por la responsable.”, entre otras.

Finalmente, la AEPD requiere a BBVA para que, en el plazo de 6 meses, adecúe a la normativa vigente en protección de datos sus operaciones de tratamiento de datos personales, la información ofrecida a sus clientes y el procedimiento mediante el cual estos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

 

Fuente: AEPD

Por | 2020-12-15T20:22:57+00:00 15 de diciembre de 2020 | 8:22 pm |Derechos Afectados, Divulgación general|Sin comentarios