Con motivo de una reclamación interpuesta contra el BBVA, la Agencia Española de Protección de Datos (AEPD) ha procedido a la apertura del correspondiente procedimiento sancionador contra la entidad reclamada por la posible vulneración del artículo 32 del RGPD, que establece que “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado”.
Los motivos en que basa la reclamación son que la reclamada facilita el detalle de los últimos movimientos de la tarjeta Affinity Card mediante un sistema de atención telefónica automatizado en el que únicamente se pide como dato identificativo el DNI del cliente, sin adoptar ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese documento identificativo sin comprobar que la persona que llama sea su titular.
Por lo tanto, por los hechos reclamados, es decir, falta de adopción de medidas de seguridad adecuadas por parte de la entidad reclamada, sin respetar el principio de integridad y confidencialidad del artículo 5.1 f) del RGPD, cuyo fin entre otros es evitar un tratamiento no autorizado o ilícito de los datos personales, la Agencia considera que procede graduar la sanción a imponer de acuerdo con los siguientes agravantes:
‐ El elevado número de clientes, y en consecuencia, de afectados de la entidad reclamada.
‐ El reclamado es una entidad solvente que dispone de medios técnicos para tomar medidas de seguridad adecuadas, por lo que su carencia supone negligencia en sus acciones.
‐ El alto grado de responsabilidad de la parte reclamada por tratar diariamente datos personales de sus clientes como parte de su negocio.