BBVA ha sido una de las empresas más sancionadas en 2021. En concreto, la entidad financiera se situó en el puesto número tres en España por vulnerar el Reglamento General de Protección de Datos y ahora ha vuelto a ser amonestado por enviar información a un usuario con datos de una tercera persona.
Según publicó el BOE, en 2021 la empresa que recibió una de las sanciones elevadas fue Vodafone (ocho millones de euros), seguido de Caixabank (6 millones) y BBVA, (5 millones).
Pero en 2022 ha seguido cometiendo infracciones. Hace apenas dos semanas, la Agencia Española de Protección de Datos (AEPD) sancionó a la entidad financiera a pagar 70.000 euros por filtrar la dirección personal del domicilio de una letrada; en agosto, fue amonestada por no garantizar la seguridad en el tratamiento de los datos personales con 200.000 euros o 42.000 euros por pedir el DNI a un cliente que quería conocer los datos de contacto de una sucursal, entre otras.
Ahora, se enfrenta a una nueva multa. En noviembre de 2021. la reclamante interpuso una denuncia ante la AEPD contra el BBVA porque solicitó al banco un certificado de titularidad de su cuenta a través de la aplicación y, por la misma vía, recibió una copia de un contrato de terceras personas.
La clienta comunicó la incidencia y, tras mostrarse preocupada por cómo se estaban protegiendo sus datos, recibió respuesta ese mismo día. El mensaje decía lo siguiente: “Me disculpo en nombre de mi compañera, ha sido un error operacional, sus datos están protegidos”.
Pero la reclamante volvió a trasladar al banco que seguía teniendo acceso al documento con datos de terceras personas porque sigue disponible en el chat de contacto con la entidad. Pero le manifestaron que no era posible eliminar dicho documento.
«ERROR HUMANO Y PUNTUAL»
En su escrito de alegación, el banco manifestó que el gestor cometió un error puntual y humano al adjuntar en su comunicación electrónica un contrato diferente al que firmó la clienta y que se trataba de un hecho aislado porque no tienen constancia de otras reclamaciones por este asunto.
Por ello, lamentó el error e informó a la AEPD que, en el mismo momento en el que la reclamante se puso en contacto con el gestor para comentarle lo ocurrido, le pidió disculpas.
Asimismo, señaló que se eliminó el acceso por parte del cliente al archivo del contrato y que el en el que se intercambiaba la conversación entre ambos a través de la aplicación se eliminó para no poder descargar ni visualizar el contenido del documento.
La AEPD manifestó que se había producido una brecha de seguridad de datos personales, categorizada como una brecha de confidencialidad, al haberse facilitado a la parte reclamante un contrato en el que constan datos personales de una tercera persona.
EN UN PRINCIPIO LA MULTA ERA DE 80.000 EUROS, PERO BBVA SE ACOGIÓ A LAS DOS REDUCCIONES
Ante esta situación, la Agencia de Protección de Datos le sancionó con 50.000 euros por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5 de dicha norma, y otra multa administrativa de 30.000 euros por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4.
Pero la AEPD le dio la opción de poder reducir la sanción si se acogía al pago voluntario y a reconocer su responsabilidad en un plazo de diez días. Esto supondría una disminución de un 20% por cada una de ellas.
Finalmente, en septiembre BBVA decidió acogerse a las dos reducciones y abonó 48.000 euros, de tal forma que reconocer la responsabilidad conlleva la renuncia a cualquier recurso contra la sanción.
Fuente: confilegal.com