Sancionan con 25.000 euros a CaixaBank por facilitar a una madre, que no se identificó, datos de la cuenta de su hija

La Agencia Española de Protección de Datos ha impuesto una sanción de 25.000 euros a Caixabank por facilitar a una mujer datos sobre la cuenta de una de sus hijas, sin que ella se hubiese identificado correctamente como madre y representante legal de la menor. Este fallo de seguridad, que constituye una violación del artículo 32 del Reglamento de Protección de Datos se produce después de que la madre hubiese solicitado información sobre la cuenta de otra de sus hijas.

La secuencia es la siguiente: la madre escribe un correo electrónico para solicitar información de la cuenta de su hija menor a una oficina de Bankia, donde le responden que no se la pueden facilitar porque el correo desde el que escribe no consta en la base de datos. Reitera la petición por vía telefónica y le dicen que la cuenta de su hija, de la que ella tiene la guarda y custodia y en la que figura, junto al padre, como autorizada, ha sido cancelada. Cuando pide explicaciones, le dicen que se pondrán en contacto con ella más tarde. En efecto, recibe poco después la llamada del director de una oficina distinta de la entidad, que le proporciona información de la cuenta de otra de sus hijas. Este trabajador facilita los datos a la mujer sin que ella se identifique con el DNI, una vez que proporciona el DNI de la menor. Una vez advertido de su error, el hombre le confirma que la cuenta de la otra niña ha sido cancelada y que acuda a la oficina donde se abrió aquella cuenta para obtener más información. Cuando lo hace, aunque muestran algunas trabas inicialmente, acaban informándole de que el padre de la menor, de quien se encontraba en trámites de separación y que es trabajador de esa oficina bancaria, canceló la cuenta y transfirió los fondos a la suya.

Una vez conocidos los hechos, la madre reclama ante la Agencia Española de Protección de datos al considerar que se obstaculizó el acceso a la información de su hija, presumiendo que el banco había intentado ocultar la cancelación de la otra cuenta, y que se facilitaron los datos de la otra menor sin haberse asegurado de quien era la persona que los estaba pidiendo. La entidad, que acabó poniendo a disposición de la madre, las grabaciones de la conversación telefónica que esta mantuvo con el servicio de atención al cliente, consideró que no se había producido dicha vulneración porque ella era la madre de ambas menores y, por tanto, tenía derecho a conocer los datos de las cuentas de ambas, siendo un mero error o equivocación lo sucedido.

“De la documentación obrante en el expediente se ofrecen indicios evidentes de  que el reclamado ha vulnerado el artículo 32 del RGPD, al producirse un incidente de seguridad al aportarse los datos de la cuenta de un tercero (hija de la reclamante), telefónicamente sin haber comprobado antes la identidad de la persona a la que se facilitaban los datos”, se puede leer en la resolución.

«No se trata de convertir un error en un incidente de seguridad, sino que el protocolo, procedimiento, sistema o medidas establecidas por el reclamado han fallado, permitiendo el acceso a los datos de terceros que no habían sido solicitados por la reclamante», añade. Así, la responsabilidad del reclamado viene determinada por la quiebra de seguridad puesta de manifiesto por el reclamante.

El TS ha establecido que, en estos casos, existe una obligación de resultado, esto es «existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto, en este caso, de garantizar la seguridad de los datos personales y la inexistencia de filtraciones o quiebras de seguridad». No es, pues, una obligación solo de medios.

Entre las circunstancias agravantes se encuentran que los hechos “afectan gravemente a una cuestión primordial en materia de protección de datos como es el establecimiento de medidas técnicas y organizativas necesarias y adecuadas, cuya vulneración es calificada como grave”; el hecho de que se hayan visto afectados datos de menores; la actividad de la empresa, vuya actividad está vinculada con el tratamiento de datos tanto de clientes como de terceros y la actuación grave de “falta de diligencia en su actuación al permitir el acceso a datos que no se le habían solicitado”. Igualmente se valora, a la hora de ponderar la sanción, el volumen de negocio de la entidad, “pues se trata de una de las tres entidades financieras líderes en el mercado nacional, con un beneficio neto de 3.145 millones en 2022. Se aprecia como atenuante que los hechos sucedieron cuando existía Bankia: se produjo “un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorvente”.