BBVA paga una multa de 48.000 euros a la Agencia de Protección de Datos

  • La entidad envió una copia de un contrato de terceras personas a un cliente que solicitó el certificado de titularidad de su cuenta. 
Edificio de la sede de BBVA en Madrid.
Edificio de la sede de BBVA en Madrid.
EUROPA PRESS
Edificio de la sede de BBVA en Madrid.

BBVA ha abonado una multa de 48.000 euros a la Agencia de Protección de Datos después de que un usuario del banco recibiese "por error" un documento con datos de terceros, según se explica en la resolución del procedimiento sancionador iniciado contra el banco.

La resolución detalla que en octubre de 2021 un usuario solicitó a la entidad un certificado de titularidad de su cuenta a través de la 'app' de BBVA, recibiendo, en cambio, una copia de un contrato de terceras personas. El cliente comunicó la incidencia y su preocupación por la protección de datos, a lo que el banco respondió con una disculpa, afirmando que se trataba de un "error operacional".

Sin embargo, el usuario continuó las comunicaciones con el banco para señalar que continuaba teniendo acceso al documento, al estar disponible a través del chat de contacto que mantenía con la propia entidad. El banco, por su parte, indicó al reclamante que no era posible eliminar dicho documento de la conversación.

Posteriormente, el 15 de noviembre de 2021, el cliente interpuso denuncia ante la Agencia Española de Protección de Datos contra BBVA, una reclamación que se remitió al banco para que analizase e informase a la agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

Ya en febrero de 2022, pero dentro del plazo previsto, el banco explicó a Protección de Datos que su herramienta para poner en contacto a clientes y gestores ('Mis Conversaciones') es un canal "seguro", en un entorno "logado" y que proporciona el acceso al histórico de las conversaciones, con la finalidad de "garantizar la transparencia y trazabilidad" de todas las operaciones.

BBVA asegura que fue "un error puntual y humano"

En el escrito remitido a la agencia, el banco reconoce que se "cometió un error puntual y humano" al adjuntar el contrato con datos de terceros, y que se trata de "un hecho aislado, no teniéndose constancia de otras reclamaciones por parte de las personas afectadas". Lamenta la equivocación y traslada a Protección de Datos que en el mismo momento en el que el reclamante advirtió del error a su gestor, este se disculpó, al igual que lo hizo en las siguientes comunicaciones entre ambos.

"BBVA ha eliminado el acceso por parte del cliente al archivo del contrato. Si bien se conserva la conversación entre el gestor y el cliente, el enlace al archivo se ha eliminado de tal forma que este no puede acceder a la descarga/visualización del documento", ahondaba el banco en el escrito.

A pesar de esta defensa, la Agencia de Protección de Datos decide aceptar a trámite la reclamación y abrir un procedimiento sancionador contra BBVA al tratarse de una "brecha de seguridad" de datos personales. Concretamente, explica que consta que los datos personales de un cliente de BBVA obrantes en su base de datos "fueron indebidamente expuestos a la parte reclamante".

Además, indica que, en el momento de producirse esta brecha, BBVA no contaba con medidas adecuadas, técnicas y organizativas para impedir el envío de un enlace que daba acceso al contrato de un tercero, dejando así expuestos los datos personales de un cliente desde octubre de 2021 hasta febrero de 2022.

Como agravante, Protección de Datos señala, por un lado, que la actividad financiera de BBVA y el elevado número de clientes con el que cuenta conlleva el manejo de "un gran número de datos personales", lo que implica que tiene "experiencia suficiente y debería contar con el adecuado conocimiento para el tratamiento de dichos datos".

Ante esta situación, la Agencia de Protección de Datos propone una sanción administrativa de 50.000 euros por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5 de dicha norma, y otra multa administrativa de 30.000 euros por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4.

En el procedimiento sancionador, Protección de Datos recuerda la posibilidad de que el banco reconozca su responsabilidad dentro de un plazo de 10 días, lo que conllevaría aparejada una reducción del 20% de la sanción. De esta forma, la multa se reduciría de 80.000 euros a 64.000 euros.

Además, también reconoce la posibilidad de que el banco haga el pago voluntario de la sanción, lo que implicaría otra reducción del 20%, reduciendo el importe de la sanción a 48.000 euros. Así, da la posibilidad al banco de que realice un pago voluntario de cualquiera de las dos cantidades, ya sean 64.000 o 48.000 euros.

Finalmente, el 23 de septiembre de 2022, BBVA ha procedido al pago de 48.000 euros haciendo uso de las dos reducciones previstas por la Agencia de Protección de Datos, de tal forma que "implica el reconocimiento de la responsabilidad", conlleva la renuncia a cualquier acción o recurso en vía administrativa contra la sanción, y supone la finalización del procedimiento sancionador.

Mostrar comentarios

Códigos Descuento