Economía

Multa récord a BBVA por incumplir la ley de protección de datos

La AEPD ha firmado una resolución histórica que sanciona al BBVA con cinco millones de euros. Es la sanción más alta impuesta por la autoridad que encabeza Mar España

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de cinco millones de euros a BBVA por incumplir varios artículos del Reglamento General de Protección de Datos (RGPD). La entidad bancaria trató datos de sus clientes sin consentimiento inequívoco y no les dio información suficiente y clara sobre ese tratamiento. En concreto, según consta en la resolución consultada por Vozpópuli, la entidad financiera incumplió los artículos 6, 13 y 14 de la citada normativa.

El artículo 6, referido al principio de licitud, controla el consentimiento que cualquier persona debe otorgar para el tratamiento de sus datos. La ley obliga a que los clientes den un consentimiento explícito y, en el caso del BBVA, el formulario que utiliza para recabar el consentimiento de sus clientes exige que tengan que indicar que no quieren que sus datos sean tratados para recibir ofertas personalizadas. Si el cliente no marca esta casilla, se produciría un consentimiento tácito, algo que choca con la declaración o clara acción afirmativa que marca la ley. Por esta infracción, calificada como muy grave, el banco le ha sancionado con tres millones de euros.

Al mismo tiempo, la AEPD considera acreditado que el banco también vulneró los artículos 13 y 14 del reglamento. Estos artículos establecen que las empresas (en este caso, BBVA), deben informar con un lenguaje claro y accesible qué se va a hacer con sus datos. “BBVA no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización”, reza la resolución de algo más de 120 páginas. Por el incumplimiento de estos artículos se suman otros dos millones, que elevan el montante final a cinco millones de euros.

La manera de BBVA de informar a los clientes, que la AEPD tacha de “formulaciones vagas”, incluye expresiones como “conocerte mejor y mejorar tu experiencia” o “Tus datos son tuyos y los controlas tú”, entre otras. El origen del procedimiento está en las quejas de varios particulares que recibieron comunicaciones comerciales del banco.

En la resolución, entre los agravantes que destaca la AEPD está “la naturaleza, gravedad y duración de la infracción” al afectar a “uno de los principios básicos relativos al tratamiento de los datos, como es el de transparencia, poniendo en cuestión toda la actuación desarrollada por BBVA”. Además, la AEPD detecta “intencionalidad” en la comisión de la infracción.

En otro punto del documento, el organismo que encabeza Mar España destaca que no se trata de un caso en que no se hayan implantado “procedimientos adecuados de actuación en la recogida y tratamientos de datos”, sino que se trata “de un defecto del sistema de gestión de los datos personales diseñado por la responsable”.

BBVA recurrirá la sanción

Para Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías de Faseconsulting, toda la resolución gira en torno al mismo problema. "El apartado en que se requería el consentimiento mostraba un vocabulario confuso, no era claro. La AEPD considera que la forma en que se informaba de ello al usuario creaba la apariencia de que dar el consentimiento era positivo para el usuario, porque se generaba un beneficio, en este caso el de mejorar la experiencia de usuario", concluye Mayans.

El abogado añade que los artículos 13 y 14 exigen "que se informe correctamente y de forma clara al interesado acerca de cómo se ha de realizar la recogida de los datos y para qué se utilizarán. El BBVA no explicaba cosas que eran de interés para el usuario, como por ejemplo que los datos facilitados se podrían usar para enviarle información de préstamos, por poner un ejemplo".

Además de la sanción, la agencia requiere a la entidad bancaria que adecúe su normativa de protección de datos en un plazo de seis meses. Dado que la multa supera el millón de euros, será publicada en los próximos días en el Boletín Oficial del Estado (BOE).

Fuentes de BBVA señalan a este diario que creen que la actuación del banco ha sido correcta y tienen previsto presentar un recurso contencioso-administrativo próximamente.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación
Salir de ver en versión AMP