La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros –84.000 finalmente por pago voluntario y reconocimiento de hechos– al banco BBVA por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el tratamiento ilícito de datos y el derecho de acceso.
Pues bien, todo comenzó en noviembre de 2021. Una ciudadana acudió a la AEPD a poner una reclamación porque se había dado cuenta de que BBVA estaba tratando sus datos de forma incorrecta. El banco había facilitado datos suyos a la Central de Información de Riesgos del Banco de España (CIRBE) por dos supuestas deudas.
Cuando se enteró de ello solicitó al banco el acceso a sus datos personales ya que, además, dejó de ser clienta de BBVA en el año 2012.
En concreto, la usuaria solicitó datos relacionados con una copia de unas grabaciones, el extracto y liquidación de la supuesta deuda, justificantes de saldo y movimientos de la cuenta.
BBVA dijo que era una deuda reclamada judicialmente
BBVA respondió a la usuaria y le explicó que se trataba de una deuda vencida y exigible que estaba siendo reclamada judicialmente, que no procedía suprimir sus datos por mantener posiciones activas con la entidad y que necesitaban más información respecto a las grabaciones que quería para poder localizarlas.
En relación con la Central de Información de Riesgos del Banco de España, le comunicaron que dicho asunto estaba siendo tratado en los expedientes y que le darían respuesta cuando finalizasen.
Tras conocer los hechos, la AEPED comenzó a investigar para determinar qué era lo que había ocurrido. Pues bien, en relación con las deudas inscritas en CIRBE, desde la AEPD descubrieron que una era de 1999 y otra de 2014 fueron tipificadas como “descubiertos en cuenta” y fueron perdonadas por el banco tras la reclamación impuesta ante el Banco de España y la AEPD.
Respecto al ejercicio del derecho de acceso, la usuaria solicitó unas grabaciones de conversaciones telefónicas efectuadas entre 2016 y 2021. Pero esos archivos nunca llegaron.
El banco continuó reiterando que, para poder localizarlos, necesitaba más información como, por ejemplo, las fechas concretas o el número exacto de llamadas. Pero a la reclamante esto no le pareció una excusa al considerar que debían de llevar un control de ellas.
Se le impuso un agravante en la sanción
Por estos hechos se le ha imputado la comisión de dos infracciones por vulneración de los artículos 6.1 (licitud del tratamiento) y 6.15 (derecho de acceso) del RGPD. Y para determinar la cuantía de la sanción, ha considerado, en calidad de agravante, “la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros”.
Pues además, el banco no remitió toda la información solicitada por la usuaria.
Así las cosas, le impuso una sanción de 70.000 euros por cada una de las dos infracciones, por lo que la cantidad total ascendía a 140.000 euros.
Pero la AEPD le dio la opción de acogerse a dos reducciones si reconocía los hechos y procedía al pago voluntario. El banco decidió aceptarlo y finalmente han pagado 84.000 euros que fueron pagados el 30 de enero de 2023.
