La afectada es una anciana que fue víctima de robo, en el que terceros sustrajeron su tarjeta bancaria, su cuenta bancaria, DNI y datos de contacto. Posteriormente al robo, se utilizó esta información para la contratación de nuevas tarjetas de crédito asociadas a la cuenta de la afectada y a nombre de ésta.
La víctima y sus familiares, al percatarse del robo y de que se estaban sucediendo movimientos indebidos en su cuenta, avisaron a BBVA. No obstante, lejos de implantar medidas de seguridad para proteger a la víctima, el banco terminó reclamando a la interesada por las deudas contraídas por los delincuentes e, incluso, la inscribieron en un fichero de morosos.
Al ponerse en contacto con la interesada desde una empresa de reclamación de deudas, la víctima interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) por el tratamiento ilícito de sus datos personales por parte de BBVA, que ha resultado en una sanción económica a este último por una cantidad de 1,6 millones de euros.
Desde el punto de vista legal, la AEPD ha detectado las siguientes infracciones de la normativa de protección de datos, en las que basa su sanción:
- Tratamiento ilícito de datos personales, tanto por utilizar esta información para contratar productos financieros de manera indebida, como por incluir a la reclamante en sistemas de información crediticia.
- Inexistencia de las debidas medidas de seguridad, al no poder garantizar a la reclamante una protección adecuada al ser notificados sobre la sustracción de su información, así como en relación a la inclusión de interesados en ficheros de morosos.
- Falta de cumplimiento del principio de privacidad desde el diseño. En relación a este incumplimiento, BBVA aporta un documento sobre prevención del fraude, pero no puede aportar ninguno en relación a la protección de los datos personales de sus usuarios.