La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador contra el BBVA de 200.000 euros tras recibir la denuncia de un ciudadano por un mal tratamiento de datos personales. En la documentación del procedimiento se explica que el tratamiento realizado por BBVA no cumple con el Reglamento General de Protección de Datos (RGPD), el marco legal por el que se rige la gestión de la información de los ciudadanos de la Unión Europea.
"Se manifiesta por el reclamante que la entidad reclamada no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo", refleja la resolución.
Es decir, cualquier persona que hubiera sido capaz de hacerse con la numeración de un Documento Nacional de Identidad podría, según explica la documentación consultada por Vozpópuli, conseguir datos personales del propietario del DNI, sin que BBVA tuviese en funcionamiento filtros adecuados para identificar que quien hace la consulta es realmente el propietario del DNI.
El Reglamento General de Protección de Datos establece en el artículo 5 los principios que han de regir el tratamiento de los datos personales y menciona entre ellos los de “integridad y confidencialidad”
La reclamación fue planteada ante el organismo responsable de velar por el buen tratamiento de los datos de los ciudadanos el pasado 25 de marzo de 2020, con la pandemia del coronavirus en su momento inicial. La AEPD procedió a informar al BBVA del requerimiento. La entidad bancaria apuntó el 25 de septiembre que había un error de forma para frenar el procedimiento. Alegó ante Protección de Datos que una vez subsanado el mismo, se le notificase de nuevo aquello que fuese pertinente.
"Pese a que la naturaleza de este requerimiento, que como indica el artículo 65.4 de la LOPDGDD, es facultativo y de carácter previo al inicio de cualquier procedimiento, el 25 de septiembre de 2020, la entidad reclamada en respuesta al requerimiento de este Organismo, manifiesta que en el escrito de la Agencia, no se ha indicado el plazo para responder, lo cual supone un error en la tramitación del procedimiento, motivo por el que solicita que se paralice el procedimiento, hasta que se subsane dicho error y se le notifique de nuevo dicha solicitud de información".
Reducción de la sanción para BBVA
El Reglamento General de Protección de Datos establece en el artículo 5 los principios que han de regir el tratamiento de los datos personales y menciona entre ellos los de “integridad y confidencialidad”.
En este sentido, la seguridad de los datos personales se regula en el artículo 32 del RGPD. El punto 1 de este artículo establece que "teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". Y procede a enumerar las siguientes medidas:
- La seudonimización y el cifrado de datos personales
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
La vulneración del artículo 32.1 supone, según la ley, que "las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".
Por este motivo, y aplicando el reglamento, la AEPD ha abierto el procedimiento sancionador contra BBVA. Los 200.000 euros podrían verse reducidos a 120.000 euros, explica el documento, siempre que el pago se realice de forma voluntaria y antes de que se produzca la resolución.