La Agencia Española de Protección de Datos (AEPD) ha multado con 1.000 euros -800 por acogerse al pago voluntario- a Bankinter por tardar más de un año en atender el derecho de acceso de un ciudadano cuando el plazo es, como máximo, de cuatro meses incluyendo las prórrogas.
Este derecho está recogido en el artículo 15 del Reglamento General de Protección de Datos (RGPD), que es el que a infringido y por el que ha sido sancionado.
Todo comenzó cuando el 29 de enero de 2019 un usuario envió un correo electrónico a la entidad bancaria solicitando acceder a sus datos personales en formato PDF. Un día después, Bankinter le comunicó que había dado traslado de su petición al departamento correspondiente.
Cuatro días después el banco le dijo que no podía atender su derecho de acceso porque no figuraba como cliente o excliente de la entidad. Sin embargo, éste respondió que tal afirmación no era cierta porque tenía una cuenta abierta con ellos, por lo que les envió como prueba una copia de un documento de Bankinter de 2017 en la que figuraba que era el titular.
El error se solventó el 20 de abril de 2020 tras contestarse al derecho de acceso de forma completa, pero el banco lo hizo cuando tuvieron conocimiento de la reclamación interpuesta.
Bankinter alegó que era un error puntual
Los representantes de Bankinter, para intentar convencer a la AEPD, descargaron una batería de alegatos.
Explicaron que disponían de procedimientos y mecanismos adecuados para dar cumplimiento a la tramitación de los derechos de protección de datos de los interesados. Por ejemplo, que todos los empleados recibían un curso de obligado cumplimiento en esta materia en el que se les trasladaba la importancia de atender correctamente y en plazo las solicitudes.
Por lo que fue «un error puntual» lo que hizo que no se localizara la cuenta de la que era titular el reclamante.
En cambio, desde la AEPD le dijeron que en este caso no estaban evaluando el procedimiento que utilizaba el banco, sino el motivo por el cual no habían atendido debidamente el derecho de acceso del cliente. Por lo que tal alegato no era válido.
También relataron que en cuanto tuvieron conocimiento de la situación tras recibir el requerimiento de la AEPD pusieron soluciones de forma “rápida y eficaz” a pesar de estar en plena pandemia.
Otro de los argumentos que utilizó Bankinter para defenderse fue que los procedimientos que utilizaban para el derecho de acceso eran de «reputada eficacia» al ser una entidad financiera que recibe una media de más de 44 solicitudes al mes. Sin embargo, «teniendo en cuenta el ingente número de solicitudes que el banco ha venido gestionando y recibiendo desde 2018, sólo 12 se han traducido en actuaciones ante la AEPD”, dijeron.
También hicieron hincapié en que esas actuaciones fueron archivadas.
La AEPD comunicó al banco que iban a ser propuestos para sanción por estos hechos, pero respondieron que habían actuado sin dolo ni culpa, que el fallo había sido fortuito y que la multa era desproporcionada. Por ello, solicitaron el archivo de la reclamación o, en su defecto, que se sustituyese por un apercibimiento. Pero todos sus argumentos no sirvieron de nada.
“Una gran empresa que realiza de forma habitual tratamientos de datos personales de sus clientes como es Bankinter debe extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos, tal y como establece la jurisprudencia”, relata la resolución de la AEPD.
