La Agencia Española de Protección de Datos (AEPD) ha multado con 250.000 euros a Banco Cetelem por irregularidades en el cobro de un préstamo. Aunque eso sí, finalmente han pagado 150.000 tras acogerse a las dos reducciones propuestas por la AEPD. Son pagar de forma voluntaria y reconocer los hechos, lo que ha supuesto una rebaja del 40%.
Cantidad que ya abonaron el pasado 31 de mayo. Los motivos por los que se les ha sancionado han sido por cometer tres infracciones del Reglamento General de Protección de Datos (RGPD). Dos de ellas relacionadas con el artículo 6, que hace referencia a la licitud del tratamiento y otra del 17.1.d, que habla sobre el derecho al olvido.
La reclamación fue impuesta el 20 de octubre de 2023 por un ciudadano harto de que Cetelem le cargase en su cuenta bancaria varios recibos relacionados con un préstamo de una persona desconocida. Ni siquiera tenía contrato con este banco online.
Según se explica en la resolución, los primeros cargos llegaron en los meses de julio, agosto y septiembre de 2022. En esas fechas, recibió un total de 8.
Por lo que decidió protestarle a Cetelem que estaba usando su cuenta bancaria de forma indebida. Tenían sus datos sin haber tenido una relación contractual previa. De modo que solicitó la supresión de sus datos. El importe cobrado le fue devuelto.
Pero explicó que un año después, el banco reincidió. Ya que en septiembre y octubre de 2023, le volvió a ocurrir lo mismo. Le cobraron recibos de la misma deudora.
Como prueba, aportó a la AEPD extractos de esos recibos, las reclamaciones que le hizo a Cetelem junto con sus respectivas contestaciones y una denuncia policial.
Cetelem alegó un error
Por su parte, el banco manifestó que su cuenta bancaria era la que estaba asociada al contrato. También alegaron que habían borrado su cuenta de la base de datos pero que, al vender la deuda a otra empresa en junio de 2023, seguía figurando erróneamente su número de cuenta bancaria.
Pero para la AEPD, este «error» se debía a que Cetelem habría incorporado la cuenta bancaria del reclamante en el contrato de la deudora «sin haberse asegurado de su titularidad».
De modo que la Agencia consideró que había tratado información personal sin licitud porque el ciudadano no había dado consentimiento para ello. Tampoco existía obligación legal ni contractual que lo justificase.
Respecto a la eliminación de sus datos, era algo que Cetelem había reconocido. Ello al declarar que se había suprimido su cuenta de la base de datos pero no en el contrato, que era la base jurídica de la deuda. De modo que han decidido sancionar al banco.
No obstante, la sanción no es firme y se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
