La Agencia Española de Protección de Datos (AEPD) ha sancionado con 70.000 euros a BBVA por no verificar correctamente la identidad de un cliente. Esto provocó que la cuenta bancaria de la verdadera titular quedase vacía al sacarle 9.400 euros. Ha vulnerado dos artículos del Reglamento General de Protección de Datos (RGPD).
La afectada extravió su DNI y tras poner la correspondiente denuncia, una persona no identificada acudió a una sucursal de la entidad bancaria suplantando su identidad. Se hizo pasar por ella y el empleado le entregó todo el dinero que tenía guardado sin autorización ni consentimiento porque no comprobó que no era la persona que aparecía en el documento de identidad.
Solicitó al banco la devolución del dinero al ser un movimiento que ella no había autorizado, algo que BBVA aceptó.
Decidió presentar una reclamación ante la AEPD al considerar que no había adoptado las medidas correspondientes por no comprobar fehacientemente su identidad. No conocía a la persona que se había hecho pasar por ella.
BBVA reconoció que no se había hecho una correcta identificación
La AEPD pidió explicaciones a BBVA para conocer qué era lo que había pasado. Éste reconoció que la oficina no realizó una correcta identificación de la persona y, además, aportó un justificante de la solicitud de disposición cuya firma no coincidía con la que figuraba en el DNI de la afectada.
También reconocieron que la retirada de dinero había sido fraudulenta.
Por lo que para la AEPD esto no había sido un “error invencible en la identificación del portador del DNI”, tal y como alegaron en un principio, sino “una grave falta de negligencia que se hubiese evitado si se hubiese atendido correctamente los protocolos implantados cotejando y verificando correctamente tanto la fotografía como la firma del documento».
El protocolo del banco se encontraba presente en un documento denominado “Disposiciones de efectivo contra cuentas personales dentro del ámbito de atención universal». En él se recogían instrucciones que regulaban las disposiciones, contratación de cuentas corrientes, de crédito, y libretas de ahorro.
Y en el punto dos se señalaba que para entregar dinero a una persona, sea o no cliente de la entidad, tiene que identificarse apropiadamente. Pues en caso de haber algún fallo, el empleado tiene que denegar la operación.
Protocolo del banco
Para que la operación sea válida, se debe aportar el documento de identificación válido, original, que no sea fotocopia, que no está manipulado, que no se encuentre caducado y que no presente anomalías. Además, se tendrá que comprobar que el aspecto del titular y la persona que se tiene delante coinciden, es decir, comprobar a través del mismo que es la persona que dice ser.
Sin embargo, “en el presente caso no parece que la actuación llevada a cabo por el empleado en la oficina, como así lo confirma el propio banco, comprobara fehacientemente estos datos”, han relatado en la resolución.
Además, a la AEPD le ha resultado paradójico que la copia del DNI que se aportó para realizar la operación fue incluso digitalizada por el propio trabajador. Lo escaneó y registró en la base de datos de la entidad y no se dio cuenta de que quien tenía delante no era quién decía ser.
La sanción
A la hora de imponer la sanción han tenido en cuenta dos cosas. Por un lado, que es muy grave al estar frente al tratamiento de datos de tipo económico y que afectan a la solvencia de una persona y, por otro, que no se cotejara correctamente la fotografía del DNI.
De forma que la multa impuesta ha sido de 70.000 euros. Los primeros 50.000 corresponden a la infracción del artículo 6.1 del RGPD, que hace referencia al tratamiento ilícito de datos y otros 20.000 por incumplir el artículo 32.1 por la falta de medidas de seguridad.
La sanción no es firme porque puede recurrirse ante la Sala de lo Contencioso de la Audiencia Nacional.
