BBVA recibe una sanción de 70.000 tras la denuncia de un cliente
Un cliente del BBVA facilitó a esta entidad los datos necesarios para la apertura de una cuenta, entre ellos, su domicilio particular. Por otra parte y en calidad de abogado, esta misma persona presentó a la entidad una reclamación en nombre y representación de uno de sus clientes.
Ante esta situación, el BBVA acusó recibo de la reclamación mediante escrito dirigido al abogado a su domicilio personal y, además comunicó esta información a su cliente. Es decir, el BBVA utilizó el dato del domicilio del abogado, facilitado para la apertura de una cuenta, para la respuesta de una reclamación que hizo en nombre y representación de un tercero.
Así, el abogado decidió interponer una reclamación ante la Agencia Española de Protección de Datos, al entender que sus datos habían sido utilizados de forma fraudulenta y, además, comunicados a un tercero de manera irregular.
BBVA, en su respuesta al traslado de la reclamación de la AEPD, manifestó que los hechos probados tuvieron lugar por un error puntual y aislado, si bien no explicó en qué consistió el error alegado. Por su parte, la AEPD afirmó que no se puede admitir que no proceda exigir responsabilidad alguna a BBVA en base a este supuesto error, pues “sería tanto como admitir que pueda ignorarse la aplicación del RGPD y la LOPDGDD.” En su resolución, la AEPD recuerda además el criterio de la Audiencia Nacional en estos supuestos, afirmando que si el error es muestra de una falta de diligencia, el tipo es aplicable.
En el presente caso, el BBVA utilizó los datos personales del abogado registrados en su ficha de cliente particular para la tramitación de una reclamación formulada en nombre de un tercero. Además, facilitó a un tercero el dato personal relativo a su domicilio particular. Estos hechos ponen de manifiesto, según la AEPD, que el banco no adoptó las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados.
Los mencionados hechos conllevan la vulneración del artículo 32 del RGPD, al no aplicar las medidas necesarias para garantizar la seguridad de los datos personales. Además, entiende la AEPD, que también se vulneró el principio de confidencialidad consagrado en el RGPD, al divulgar a terceros la dirección del domicilio particular de un cliente. Por todo lo anterior, esta Agencia ha decidido imponer una sanción económica de 70.000 euros a la entidad financiera.
Esta resolución pone de manifiesto la necesidad de las empresas de dotarse de férreas medidas de seguridad que garanticen un nivel de seguridad adecuado en función del riesgo, incluso cuando se desconoce la normativa de protección de datos o no exista dolo o mala fe en el incumplimiento.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.