CONPRODAT: Su sastre en Protección de Datos
ConprodatConprodatConprodat CONPRODAT empresa registrada INCIBE CONPRODAT ISO 27001 CONPRODAT empresa registrada INCIBE
914 315 181
soporte@conprodat.com

La AEPD sanciona a BBVA con 140.000 euros por ceder al Banco de España información de una clienta

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros –84.000 finalmente por pago voluntario y reconocimiento de hechos– al banco BBVA por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el tratamiento ilícito de datos y el derecho de acceso.

Pues bien, todo comenzó en noviembre de 2021. Una ciudadana acudió a la AEPD a poner una reclamación porque se había dado cuenta de que BBVA estaba tratando sus datos de forma incorrecta. El banco había facilitado datos suyos a la Central de Información de Riesgos del Banco de España (CIRBE) por dos supuestas deudas.

Cuando se enteró de ello solicitó al banco el acceso a sus datos personales ya que, además, había dejado de ser clienta de BBVA en el año 2012.

En concreto, la usuaria solicitó datos relacionados con una copia de unas grabaciones, el extracto y liquidación de la supuesta deuda, justificantes de saldo y movimientos de la cuenta. 

BBVA respondió a la usuaria y le explicó que se trataba de una deuda vencida y exigible que estaba siendo reclamada judicialmente, que no procedía suprimir sus datos por mantener posiciones activas con la entidad y que necesitaban más información respecto a las grabaciones que quería para poder localizarlas.

En relación con la Central de Información de Riesgos del Banco de España, le comunicaron que dicho asunto estaba siendo tratado en los expedientes y que le darían respuesta cuando finalizasen.

Tras conocer los hechos, la AEPD comenzó a investigar para determinar qué era lo que había ocurrido. Pues bien, en relación con las deudas inscritas en CIRBE, desde la AEPD descubrieron que una era de 1999 y otra de 2014, que fueron tipificadas como “descubiertos en cuenta” y perdonadas por el banco tras la reclamación impuesta ante el Banco de España y la AEPD.

Respecto al ejercicio del derecho de acceso, la usuaria solicitó unas grabaciones de conversaciones telefónicas efectuadas entre 2016 y 2021. Pero esos archivos nunca llegaron. 

El banco continuó reiterando que, para poder localizarlos necesitaba más información, como por ejemplo, las fechas concretas o el número exacto de llamadas. Pero a la reclamante esto no le pareció una excusa al considerar que debían de llevar un control de ellas. 

Por estos hechos se le ha imputado la comisión de dos infracciones por vulneración de los artículos 6.1 (licitud del tratamiento) y 15 (derecho de acceso) del RGPD. Y para determinar la cuantía de la sanción ha considerado, en calidad de agravante, “la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros” pues, además, el banco no remitió toda la información solicitada por la usuaria.

Así las cosas, la AEPD impuso una sanción de 70.000 euros por cada una de las dos infracciones, por lo que la cantidad total ascendía a 140.000 euros. El banco decidió reconocer los hechos y proceder al pago voluntario, por lo que finalmente ha abonado 84.000 euros. 

Fuente: Confilegal