La AEPD ha impuesto a BBVA tres multas, dos de 25.000 euros y otra de 20.000 euros, por la comisión dos infracciones tipificadas como muy graves y una grave, por incumplimiento del principio de “limitación de la finalidad”, por vulneración del deber de confidencialidad y por no adoptar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos de sus clientes, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados.
El reclamante es un cliente particular de la entidad que, como titular de una cuenta bancaria, le proporcionó sus datos personales, incluido el relativo a la dirección postal correspondiente a su domicilio privado. Se acredita que, con ocasión de una reclamación que presentó contra el banco en su condición de abogado y en representación de una de sus clientas, BBVA le entregó a ésta en mano el documento de acuse de recibo de la reclamación, que iba dirigido al letrado y al domicilio asociado a su ficha de cliente, poniéndole así de manifiesto el dato relativo al domicilio personal, que hasta ese momento desconocía.
Considera la Agencia que la utilización del dato personal del reclamante relativo a su domicilio particular, para la tramitación de una reclamación formulada por el mismo en nombre y representación de un tercero, actuando bajo su condición de abogado, sin que exista causa legítima para ello, supone un incumplimiento del principio de “limitación de la finalidad” regulado en el art. 5.1 b) RGPD (LA LEY 6637/2016), en cuanto dispone que los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Además, sostiene que, con su actuar, el banco infringió también el art. 32 RGPD (LA LEY 6637/2016), relativo a la “seguridad del tratamiento”, seguridad sobre la que si bien el Reglamento no establece un listado de las medidas de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas, sí impone que se trate de medidas de seguridad que resulten adecuadas y proporcionadas al riesgo detectado, siendo el responsable o encargado de tratamiento quien debe acreditar dicha diligencia con un sistema de control interno sólido y eficaz.
Para la AEPD, es claro que BBVA no adoptó de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos de sus clientes, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados. Incide en que el banco utilizó los datos personales del reclamante registrados en su ficha de cliente particular para la tramitación de una reclamación que, como abogado, formuló en nombre de un tercero, y además, facilitó a ese tercero el documento de acuse de recibo de dicha reclamación, dándole a conocer el dato personal del reclamante relativo a su domicilio particular.
A ello añade la Agencia que los hechos probados revelan que la sancionada vulneró asimismo el art. 5.1 f) RGPD (LA LEY 6637/2016), referido al deber de confidencialidad, en cuanto divulgó a terceros los datos personales del reclamante, en concreto, el relativo a su domicilio particular, tratándose de una difusión de datos personales para la que la parte reclamada no dispone de base jurídica que la legitime.
Seguidamente, rechaza la alegación de la infractora de que se trató de un error puntual y aislado. Considera que ello no solo no enerva su responsabilidad, sino que avala la falta de diligencia en el tratamiento de los datos.
Por último, en cuanto a la cuantificación de las multas, que alcanzan un total de 70.000 euros, estima que concurren tres agravantes: a) la negligencia en la infracción, pues la sancionada es una entidad que realiza tratamientos de datos personales de manera sistemática y continua y que debe extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos; b) la alta vinculación de la actividad de la infractora con la realización de tratamientos de datos personales, circunstancia ésta que determina un mayor grado de exigencia y profesionalidad y, consiguientemente, de la responsabilidad de la entidad reclamada en relación con el tratamiento de los datos, y c) la condición de gran empresa y elevado volumen de negocio de BBVA. Además, considera concurrente una atenuante, la relativa al número de afectados por la infracción, pues constituyó una anomalía que alcanzó exclusivamente a un cliente.