La AEPD es la máxima garante de la protección de datos en España. A esta le corresponde velar por el cumplimiento de la legalidad e imponer las sanciones correspondientes en caso de detectar irregularidades.
La última entidad en ser «cazada» por la Agencia ha sido el BBVA. El banco no estaba haciendo un correcto tratamiento de datos y ha sido castigado por ello. Además, no es la primera vez que esto ocurre.
Multa de 200.000 euros al BBVA
La infracción del Reglamento General de Protección de Datos (RGPD) le ha costado a la entidad bancaria una multa de 200.000 euros. Sin embargo, finalmente ha abonado solo 120.000 euros al haberse beneficiado de reducciones por reconocer su responsabilidad y no interponer recurso en vía administrativa.
El origen de la sanción está en un incorrecto tratamiento de datos
Todo empezó cuando en marzo de 2020 un cliente de la entidad llamó por teléfono para hacer un trámite y comprobó que bastaba con identificarse con su DNI. Con solo aportar esta información se le tuvo por identificado y se le suministró información sobre su cuenta bancaria.
El afectado consideró que las medidas de seguridad eran insuficientes, porque cualquiera con el DNI de otra persona podría llamar, hacerse pasar por ella y obtener información sobre las finanzas de esta.
Tras la denuncia, la AEPD inició un procedimiento que ha acabado con una sanción por incumplimiento del artículo 32 del RGPD (seguridad en el tratamiento de datos).
Justificación de la sanción
El artículo 32 del RGPD no establece un listado de medidas de seguridad que deban adaptarse en el tratamiento de la información, sino que determina que estas tienen que ser acordes a los datos tratados.
Lo que sí dispone la norma es que las medidas técnicas y organizativas tienen que ser adecuadas al riesgo que suponga el tratamiento. Siempre se deben tener en cuenta factores como los riesgos existentes, la finalidad para la que se hace el tratamiento de datos, el estado de la técnica, los costes y los derechos y libertades de los interesados.
En todo caso, las medidas de seguridad tienen que ser proporcionales y adecuadas al riesgo que ha sido detectado.
En base a esto, la Agencia Española de Protección de Datos considera que el BBVA no ha obrado de forma correcta, porque la entidad dispone de medios técnicos y económicos suficientes para garantizar la seguridad y no lo ha hecho.
Además, teniendo en cuenta que dispone de un gran número de clientes, el volumen de afectados es muy alto.
Otra cosa que destaca la resolución de la Agencia es que la entidad trata a diario datos de carácter personal y está acostumbrada a adoptar medidas de protección y seguridad. Por tanto, es plenamente consciente de los riesgos que existen si no se adoptan dichas medidas.
Todo esto contribuye a agravar su responsabilidad, dando como resultado la imposición de una multa de 200.000 euros.
El banco no ha recurrido
El BBVA no ha colaborado con la Agencia durante el procedimiento sancionador y tampoco ha presentado alegaciones más allá de señalar algunos errores en la tramitación.
Tras la imposición de la multa, no ha recurrido y el pasado 18 de agosto procedió a su pago. Por ello, se benefició de algunas reducciones.
Esta no es la primera vez que la entidad bancaria es sancionada por temas relacionados con la protección de datos. En 2020 recibió la mayor sanción que haya impuesto nunca la Agencia Española de Protección de Datos: 5 millones de euros por usar indebidamente los datos de sus clientes con fines comerciales.
Las multas que impone la AEPD no son precisamente bajas y ya has visto que actúa sin pudor contra grandes empresas. Por eso, lo mejor es implantar las medidas de protección de datos de forma escrupulosa.
