Confilegal
Confilegal
Menú
BBVA multado con 1,18 millones de euros por falta de seguridad en una tarjeta robada al suplantarse la identidad
La suplantación de identidad le generó deudas y el propio BBVA se las reclamaba. Le comunicaron que iban a meterle en el fichero de morosos.
Portada / Tribunales

BBVA multado con 1,18 millones de euros por falta de seguridad en una tarjeta robada al suplantarse la identidad

El banco conocía el robo y permitió que, una vez cancelada la tarjeta, los delincuentes siguiesen realizando operaciones contratando otros productos
|
27/10/2023 01:00
|
Actualizado: 27/10/2023 01:17
|

En esta noticia se habla de:

La Agencia Española de Protección de Datos (AEPD) ha multado con 1.184.000 de euros a BBVA por incumplir tres artículos del Reglamento General de Protección de Datos (RGPD) a raíz de una suplantación de identidad.

Información que ha sido publicada en el Boletín Oficial del Estado del pasado jueves al ser una sanción de más de un millón de euros cometida por una persona jurídica.

Según la resolución sancionadora emitida por la AEPD, todo comenzó cuando una mujer, que estaba ingresada temporalmente en una residencia de Barcelona para recibir tratamiento oncológico, fue víctima de un robo por parte de uno de los allí presentes. Le sustrajeron su bolso en el que tenía el móvil, el DNI y una tarjeta de crédito. Los hechos fueron denunciados ante los Mossos d’Esquadra.

En cuanto la mujer tuvo conocimiento del robo, se puso en contacto con el banco para cancelar de forma inmediata la tarjeta. Sin embargo, los delincuentes ya habían logado contratar con BBVA un préstamo de 4.000 euros que había sido firmado a través de la aplicación de banca a distancia.

Pero aunque la tarjeta ya estaba cancelada, suplantaron su identidad y los delincuentes estaban llevando a cabo distintas operaciones con sus datos, algo que BBVA estaba consintiendo porque era conocedor de los hechos. La entidad permitió que terceras personas pudiesen acceder a sus datos becarios, operasen con ellos vaciando las cuentas y cargando facturas, contratasen nuevos productos y realizasen transferencias a Latinoamérica. 

Estos movimientos no consentidos le generaron deudas que BBVA le reclamaba

Estos movimientos no consentidos que tuvieron lugar entre el 11 de abril y el 30 de ese mes le generaron deudas que BBVA le reclamaba a través de distintas empresas de recobro como Asnef, Equifax y Badexcug Experian. 

Además, en uno de los correos que intercambiaron para poder solucionar el asunto el banco le confirmó que había diversos cargos de banca online que suponían que no habían sido realizados por ella. 

Así las cosas, el abogado de la mujer decidió enviar un burofax a BBVA para pedir que dejasen de dar de alta productos bancarios o financieros asociados a los datos personales de su clienta porque no era ella, sino una banda de delincuentes. Aun así, días después, el banco le seguía pidiendo el pago de deudas.

La hija de la víctima envió en septiembre un correo al banco solicitando el cierre inmediato de las cuentas bancarias abiertas al nombre de su madre y la cancelación de las tarjetas. También le exigió que, en un plazo de 48 horas, le transfiriese los 6.090 euros que le sustrajeron los delincuentes y que le confirmasen que BBVA iba a asumir todas las deudas por esos actos. 

Asimismo, la hija les relató que le parecía “increíble” que BBVA introdujese a su madre en el fichero de morosos por una deuda que “sabían perfectamente que ella no había generado”. 

Ese robo trajo consigo un juicio, y el juzgado de Primera Instancia Nº10 de Barcelona consideró probado que el director de la sucursal conocía que le habían suplantado la identidad.

Para defenderse, el banco aportó un documento antifraude de 2015

El banco aportó a la AEPD un documento titulado “Prevención del Fraude y la Estafa” de 1 de junio de 2015. Un documento anterior al actual RGPD en el que no se recogía un procedimiento para evitar los fraudes, estafas y suplantaciones de identidad en las operaciones online.

Por lo que la AEPD consideró que BBVA “no tenía analizado el riesgo desde el punto de vista del derecho fundamental a la protección de datos en supuestos de pérdida, sustracción de documentación identificativa o de dispositivos que puedan dar lugar al uso de datos personales con el objeto de causar un perjuicio patrimonial a su titular y un enriquecimiento ilícito a los defraudadores”. 

BBVA alegó que los hechos se produjeron por “una serie de errores”. Pero para la AEPD, esto es “un riesgo por el cual los clientes pueden sufrir una pérdida de control sobre sus datos personales”, riesgo que debe preverse por el responsable de tratamiento en el momento en que el cliente comunica la sustracción de los medios de identificación o autenticación. “La cautela ha de presidir en la entidad bancaria”. 

Artículos que BBVA ha incumplido del RGPD

Para la AEPD, el banco ha infringido el artículo 25.1 del RGPD, que hace referencia al incumplimiento del principio de privacidad desde el diseño por no analizar el riesgo de pérdida o sustracción de documentación identificativa del cliente. 

Pues ese documento de 2015 tiene un “enfoque eminentemente empresarial o de negocio, su finalidad es tratar de evitar prácticas fraudulentas de las que se derive un perjuicio para la entidad”, no a la protección de datos del usuario.

También ha incumplido el artículo 32, que hace referencia a la “seguridad del tratamiento” al existir evidencias de que BBVA no disponía de un procedimiento de medidas de seguridad para proteger datos ante riesgos. 

Ya que tras recibir la alerta de sustracción, debía tener medidas de seguridad que garantizasen no sólo que que no se utilizaran los productos ya contratados, sino que no se permitiese contratar unos nuevos.  Y por infringir el artículo 6.1, que habla sobre la “licitud del tratamiento” al meterle en el fichero de morosos. 

Medidas de aquí a 9 meses

Asimismo, les han dado un plazo de 9 meses para hacer un análisis de riesgos y para adecuar sus procedimientos a la normativa de protección de datos, cumpliendo con el principio de protección de datos desde el diseño en el sistema de detección del fraude de la organización, y la adopción de procedimientos de seguridad de datos personales tanto en la contratación de productos financieros, como en la inclusión y mantenimiento de los datos de los clientes en los sistemas de información crediticia.

La sanción no es firme y puede ser recurrida ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

Noticias Relacionadas:
BBVA, multado con 200.000 euros por meter a un cliente en el fichero de morosos sin avisarle previamente
García Castellón propone juzgar a Francisco González, a Villarejo, a 11 personas más y al BBVA
Cae en la trampa del “phishing”, y consigue en los tribunales que BBVA tenga que devolverle los 5.000 euros
La ley de amnistía entra en vigor tras publicarse en el BOE: jueces y tribunales tienen dos meses para aplicarla 
Cambiar la contraseña del teléfono de tu pareja y cotillear sus mensajes es un delito de descubrimiento de secretos
Trabajar como psicoanalista y psicoterapeuta no es intrusismo laboral, pese a no tener la carrera de psicología
Lo último en Tribunales