CONPRODAT: Su sastre en Protección de Datos
ConprodatConprodatConprodat CONPRODAT empresa registrada INCIBE CONPRODAT ISO 27001 CONPRODAT empresa registrada INCIBE
914 315 181
soporte@conprodat.com

Multa a BBVA por enviar a un cliente un documento con datos personales de un tercero

BBVA ha abonado una multa de 48.000 euros a la Agencia Española de Protección de Datos después de que un usuario del banco recibiese «por error» un documento con datos personales de terceros, según se explica en la resolución del procedimiento sancionador iniciado contra el banco y que ha sido consultado por Europa Press.

La resolución detalla que en octubre de 2021 un usuario solicitó a la entidad un certificado de titularidad de su cuenta a través de la ‘app’ de BBVA, recibiendo, en cambio, una copia de un contrato de terceras personas. El cliente comunicó la incidencia y su preocupación por la protección de datos, a lo que el banco respondió con una disculpa, afirmando que se trataba de un «error operacional».

Sin embargo, el usuario continuó las comunicaciones con el banco para señalar que continuaba teniendo acceso al documento, al estar disponible a través del chat de contacto que mantenía con la propia entidad. El banco, por su parte, indicó al reclamante que no era posible eliminar dicho documento de la conversación.

Posteriormente, el 15 de noviembre de 2021, el cliente interpuso denuncia ante la Agencia Española de Protección de Datos contra BBVA, una reclamación que se remitió al banco para que analizase e informase a la agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

Ya en febrero de 2022, pero dentro del plazo previsto, el banco explicó a la Agencia que su herramienta para poner en contacto a clientes y gestores (‘Mis Conversaciones’) es un canal «seguro», en un entorno «logado» y que proporciona el acceso al histórico de las conversaciones, con la finalidad de «garantizar la transparencia y trazabilidad» de todas las operaciones.

En el escrito remitido a la Agencia, el banco reconoce que se «cometió un error puntual y humano» al adjuntar el contrato con datos de terceros, y que se trata de «un hecho aislado, no teniéndose constancia de otras reclamaciones por parte de las personas afectadas». Lamenta la equivocación y traslada a la Agencia que, en el mismo momento en el que el reclamante advirtió del error a su gestor, este se disculpó, al igual que lo hizo en las siguientes comunicaciones entre ambos.

«BBVA ha eliminado el acceso por parte del cliente al archivo del contrato. Si bien se conserva la conversación entre el gestor y el cliente, el enlace al archivo se ha eliminado de tal forma que este no puede acceder a la descarga/visualización del documento», ahondaba el banco en el escrito.

A pesar de esta defensa, la AEPD decide aceptar a trámite la reclamación y abrir un procedimiento sancionador contra BBVA al tratarse de una «brecha de seguridad» de datos personales. Concretamente, explica que consta que los datos personales de un cliente de BBVA obrantes en su base de datos «fueron indebidamente expuestos a la parte reclamante».

Además, indica que, en el momento de producirse esta brecha, BBVA no contaba con medidas adecuadas, técnicas y organizativas para impedir el envío de un enlace que daba acceso al contrato de un tercero, dejando así expuestos los datos personales de un cliente desde octubre de 2021 hasta febrero de 2022.

Como agravante, la Agencia señala, por un lado, que la actividad financiera de BBVA y el elevado número de clientes con el que cuenta conlleva el manejo de «un gran número de datos personales«, lo que implica que tiene «experiencia suficiente y debería contar con el adecuado conocimiento para el tratamiento de dichos datos».

Ante esta situación, la AEPD propone una sanción administrativa de 50.000 euros por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5 de dicha norma, y otra multa administrativa de 30.000 euros por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4. Finalmente, BBVA ha procedido al pago de 48.000 euros haciendo uso de las dos reducciones previstas por la Agencia Española de Protección de Datos, de tal forma que «implica el reconocimiento de la responsabilidad», conlleva la renuncia a cualquier acción o recurso en vía administrativa contra la sanción, y supone la finalización del procedimiento sancionador.

Fuente: El Correo