El BBVA ha sido sancionado por no garantizar la seguridad en el tratamiento de los datos personales.
Una infracción del Reglamento General del Protección de Datos (RGPD) que le ha supuesto a la entidad una multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD).
Los hechos se remontan a marzo de 2020 cuando un particular interpuso una reclamación ante la agencia tras comprobar que el sistema de atención telefónica automatizado tan solo le pidió como dato identificativo el DNI del cliente.
El reclamante aseguraba que el BBVA «no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo».
A finales de julio de 2021, la AEPD acordó iniciar el procedimiento sancionar al apreciar una posible infracción del RGPD que contempla, en su artículo 32, la seguridad en el tratamiento.
La entidad, presidida por Mar España, recuerda en la resolución que dicho artículo «no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento».
Sin embargo, sí establece que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas».
Asimismo, las medidas de seguridad «deben resultar adecuadas y proporcionadas al riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas».
La AEPD asegura que el banco dispone de medios técnicos para tomar medidas de seguridad adecuadas
Protección de Datos considera como agravantes que el número de clientes de la entidad es elevado y por tanto también el número de afectados.
Asimismo, que se trata de una entidad solvente que dispone de medios técnicos para tomar medidas de seguridad adecuadas, de modo que su carencia supone negligencia en sus acciones.
También tiene en cuenta «el alto grado de responsabilidad de la parte reclamada, puesto que tratando diariamente datos personales de sus clientes como parte de su negocio y adoptando medidas de seguridad adecuadas, entre ellas las propias de la regulación para la prevención del fraude en las entidades bancarias, es plenamente consciente de la necesidad de implantar medidas de seguridad adecuadas al riesgo en todos los tratamientos que efectúe, agrava su responsabilidad por carecer de medidas de seguridad».
BBVA, además, no ha presentado alegaciones al requerimiento más que para solicitar su paralización alegando errores en la tramitación de un procedimiento no iniciado.
Tampoco ha colaborado con la AEPD, según consta en la resolución, pese a tener conocimiento de la reclamación presentada.
Así, la agencia acordó imponer, en base a la infracción cometida, una sanción de 200.000 euros.
El pasado 18 de agosto BBVA procedió al pago voluntario de la sanción en la cuantía de 120.000 euros, beneficiándose de las reducciones previstas, lo que implica el reconocimiento de la responsabilidad y la renuncia a cualquier acción o recurso en vía administrativa.
