La Agencia Española de Protección de Datos (AEPD) ha sancionado con 300.000 euros a Ibercaja. En concreto, por consultar hasta en 47 ocasiones los datos de una exclienta en el fichero de morosos sin la debida justificación.
Por tanto, ha infringido el artículo 6.1.f) del Reglamento General de Protección de Datos, que hace referencia a la licitud del tratamiento.
Sin embargo, al acogerse a las dos reducciones propuestas por la AEPD, que es reconocer los hechos y pagar de forma voluntaria, la multa ha quedado rebajada a 180.000 euros al suponer una rebaja del 40%. Cantidad que ingresaron el 16 de septiembre.
La mujer finalizó la relación contractual con el banco el 23 de febrero de 2022 tras cancelar un contrato hipotecario. Algo que se protocolarizó ante notario. Sin embargo, ésta manifestó que tuvo conocimiento de que la entidad financiera había accedido a sus datos personales en el fichero patrimonial Badexcug Experian entre marzo de 2022 y enero de 2023.
Por otro lado, comentó a la AEPD en la reclamación que había puesto en conocimiento del servicio de atención al cliente de Ibercaja la situación en marzo de 2023. El banco le respondió dos meses después informándole de que habían procedido a bloquear sus datos. Pero los accesos al fichero ya habían ocurrido.
Junto a la reclamación aportó diversas pruebas. Entre ellas, la cancelación de la carga hipotecaria; el informe del fichero de morosos en el que se recogen todas las consultas efectuadas por Ibercaja y el correo dirigido al banco.
Cabe resaltar que en un primer momento, la AEPD archivó la reclamación. Pero la mujer interpuso un recurso potestativo de reposición.
Alegatos de Ibercaja
La AEPD solicitó explicaciones al banco. Respondieron que la relación que les unía era consecuencia de un préstamo hipotecario formalizado en mayo de 2006 y que, tras impagos, acabaron en un procedimiento judicial de reclamación de la deuda en junio de 2018.
Ibercaja también comentó que este proceso judicial resultó en una ejecución provisional. Así como que ambos procedimientos se resolvieron mediante satisfacción procesal tras la firma de un acuerdo transaccional entre las partes.
Justificaron dichos accesos aduciendo que, en el marco de ese acuerdo, había realizado una quita parcial de la deuda. Pues el valor del inmueble cedido no cubría la totalidad del importe adeudado.
Asimismo, afirmaron que, tras la firma del acuerdo, procedieron a regularizar la situación del préstamo eliminando la información del mismo tanto en los ficheros como en la CIRBE hasta la cancelación definitiva de la operación mediante el bloqueo de la información en su base de datos el 29 de mayo de 2023.
Pero tales afirmaciones no habían sido respaldadas por documentación que desvirtúe la presente reclamación,
Por lo que consideraron que consultar estos datos sin una relación contractual válida vulneraba el artículo 6.1 del RGPD. Como agravante, la AEPD tuvo en cuenta que se accedió al fichero 47 veces, así como «la alta vinculación de la actividad del infractor con la realización de tratamientos de datos».
Además de la multa, que no es firme porque se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, han ordenado a Ibercaja que, en el plazo de 6 meses, tomen medidas.
