Los hechos que motivaron la resolución se originan cuando una persona desconocida acude a un cajero automático de la entidad sancionada y realiza un ingreso en pago de una cuota de alquiler y, al ver que dicho tipo de cajeros no emiten justificante de pago, acude a un empleado de la oficina para que se lo facilite.
Debido a un error, este empleado le entregó un justificante de pago en el que constaba el saldo de la cuenta de la beneficiaria del ingreso, reclamante en este procedimiento ante la AEPD.
En la resolución, la AEPD califica lo sucedido como una brecha de seguridad, definida en el artículo 4.12 del Reglamento General de Protección de Datos (RGPD), siendo la del presente caso una brecha de confidencialidad.
La Agencia recuerda que, para que la existencia de una brecha de seguridad se traduzca en una sanción, es necesario que se acredite una falta de diligencia por parte del responsable del tratamiento de los datos, en cuanto al cumplimiento de sus obligaciones derivadas de la normativa de protección de datos.
Ese ha sido, precisamente, el caso de BBVA: la AEPD ha considerado la existencia de dos infracciones al RGPD:
- Infracción del artículo 5.1.f) del RGPD, relativo al principio de integridad y confidencialidad de la información. Se trata de una infracción calificada como muy grave en virtud del artículo 72 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
- Infracción del artículo 32 del RGPD, que establece la obligación del responsable del tratamiento a implantar las medidas técnicas y organizativas adecuadas al nivel del riesgo, que garanticen la seguridad de la información. Esta infracción está calificada como grave en función del artículo 73 de la LOPDGDD.