Sanción de 80.000 euros al BBVA por vulnerar la confidencialidad de los datos de un cliente y no aplicar medidas adecuadas
El pasado 10 de noviembre se hizo pública una sanción por la cual el Banco Bilbao Vizcaya Argentaria (en adelante, BBVA), era condenado al pago de 80.000 euros por parte de la Agencia Española de Protección de Datos (en adelante, “AEPD”); por haber infringido el artículo 5.1 f del Reglamento General de Protección de Datos (en adelante, “RGPD”), concerniente al principio de “integridad y confidencialidad”); y el artículo 32, concerniente a la aplicación de medidas técnicas y organizativas adecuadas. No obstante, la entidad bancaria ha visto reducida la sanción por aplicarse dos reducciones por pago voluntario; pagando finalmente 48.000 euros.
El origen de la resolución trae causa, en un “error operacional” (según la entidad reclamada), por el cual, ante la solicitud por parte del reclamante de un certificado de titularidad de su cuenta, fue remitido al contrato de un tercero.
La AEPD estima que se ha producido una brecha de seguridad que afecta a la dimensión de la confidencialidad, infringiéndose el principio recogido en el artículo 5.1. f.
Por la citada infracción, la entidad es condenada al pago de 50.000 euros ya que la AEPD estima que se trata de una infracción grave, en la cual ha de tenerse en cuenta como circunstancias agravantes:
- El grado de responsabilidad (ya que como indica la AEPD, “BBVA, como responsable del tratamiento, tiene que implementar medidas adecuadas”…y “en el presente caso…cabe suponer que no se habían adoptado medidas apropiadas”).
- La vinculación con la actividad del infractor (ya que como indica la resolución “La actividad de BBVA, entidad financiera,... conlleva el manejo de un gran número de datos personales. Ello implica que tienen experiencia suficiente y deberían contar con el adecuado conocimiento para el tratamiento de dichos datos”).
Por otro lado, se estima incumplido el artículo 32 del RGPD, ya que como indica la AEPD, “BBVA no contaba con medidas adecuadas, técnicas y organizativas, para impedir que se diera la circunstancia…dejando así expuestos los datos personales del cliente”.
Por la anterior infracción, la entidad bancaria es condenada a 30.000 euros, teniéndose en cuenta como circunstancia agravante los argumentos esgrimidos por la vinculación con la actividad del infractor.