Tras una sanción millonaria, la AEPD da un ultimátum a BBVA para que mejore sus procesos de seguridad
El banco ya ha recibido una multa de 1,18 millones por no impedir la suplantación de identidad de una clienta a la que robaron el bolso
BBVA. (Imagen: BBVA)
Tras una sanción millonaria, la AEPD da un ultimátum a BBVA para que mejore sus procesos de seguridad
El banco ya ha recibido una multa de 1,18 millones por no impedir la suplantación de identidad de una clienta a la que robaron el bolso
BBVA. (Imagen: BBVA)
Una resolución de la Agencia Española de Protección de Datos (AEPD) que ha sido publicada por el BOE recoge una sanción de 1.184.000 euros a BBVA por haber cometido cinco infracciones graves.
Tres de las infracciones están relacionadas con la denuncia presentada por una enferma de cáncer a la que, tras robarle el bolso en el hospital, le suplantaron la identidad y compraron varios productos a su nombre, una infracción que está relacionada con el artículo 32 del RGPD.
Las otras dos infracciones están relacionadas con el artículo 25 del RGPD y se centran en la forma en la que se establecieron los procedimientos implantados por el BBVA y que fueron revelados a través de la información aportada por la entidad financiera durante las actuaciones de investigación.
Los hechos probados señalan que a esta clienta se le robó el bolso en el hospital donde estaba siendo tratada y que su identidad fue suplantada pese a que ella denuncio el robo. La resolución de la AEPD afea a BBVA que no pudiera impedir esa suplantación de identidad con los problemas para esta perjudicada. Acabó en números rojos y en la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) como morosa a la vez que vaciaron sus cuentas. Eso le hizo demandar al banco.
Los ladrones se valieron del móvil de la víctima para contratar, durante meses, varias tarjetas de crédito, préstamos, líneas de financiación con Carrefour e incluso la apertura de otras cuentas a nombre de la víctima.
La multa impuesta al banco es de 1.640.000 euros, que se queda por pronto pago en 1.184.000 euros. El quid de la cuestión es que la AEPD dice que ha habido un fallo general del sistema de seguridad mientras que BBVA lo ve como un fallo puntual, cuestión en la que la entidad financiera va a apoyarse para recurrir la sanción.
Tras ser incluida en registros de morosos, la perjudicada acudió a la vía judicial. La sentencia de Juzgado de Primera Instancia nº 10 de Barcelona que señala que “al menos desde el 14 de abril de 2020 BBVA tenía conocimiento del hurto sufrido” por esta señora la cual “cumplió con su obligación de comunicar de forma inmediata el hurto de sus tarjetas y de su DNI, por lo que todos los cargos habidos con las tarjetas cuya cancelación se solicitó el día 14 de abril de 2020 deben ser reintegrados”. La sentencia se ha recurrido y hay otros frentes judiciales abiertos. Con posterioridad, la afectada denuncio el tema a la AEPD.
Una resolución de gran impacto
José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, explica que la sanción que plantea la AEPD al BBVA tiene varios elementos relacionados entre sí. “Se sanciona a la entidad financiera porque permitió realizar una operación no autorizada y se llevó a cabo según el regulador porque no se habían establecido procedimientos adecuados, tanto en medidas de seguridad como en protección de datos desde el diseño, como infracciones de los artículos 25 y 32 del RGPD, lo que genera sanciones graves”.
Este experto subraya que el expediente sancionador tiene dos bloques de sanciones “una por errores de procedimiento que afecta a todo el banco en su conjunto y otra por el caso concreto”.
Recuerda que el Tribunal Supremo en algunas de sus resoluciones indica que cuando utilizan estas entidades financieras estas tecnologías, sobre todo banca electrónica, asumen un riesgo, porque la suplantación de identidad es un riesgo inherente a estas tecnologías. Al asumirlo tienen que responder frente a sus clientes. De hecho, en la Ley de Servicios de Pago hay un artículo que dice que si ocurre esto y la entidad detecta una operación no autorizada debe devolver el dinero en 24 horas a más tardar”.
Por lo que se dice en la resolución, en este caso no se le restituyó ese dinero. “El banco dice que la clienta tenía que haber cuidado mejor las contraseñas, pero realmente la normativa obliga al banco porque la clienta avisó cuando en la residencia en la que estaba siendo tratada por un cáncer detectó que la robaban el bolso con el móvil dentro”.
“A esta clienta del banco se le contrataron préstamos personales a su nombre, tarjetas de crédito nuevas y cuentas bancarias nuevas, e incluso transferencia a Latinoamérica. El destrozo fue importante. Al parecer, según la AEPD, el banco no actuó de forma diligente porque la señora avisó en cuanto advirtió lo que le pasaba que le habían robado el bolso. Y a pesar de ese aviso, con fechas posteriores se produjeron contrataciones de producto que se dieron de alta, lo que genera la sanción”.
Núñez explica que, según la AEPD, “el banco no tiene medidas para alertar a sus empleados o a su sistema que una persona no puede contratar en un momento dado porque hay un bloqueo por cualquier causa. Se habla por ello que hay un problema de diseño que los procedimientos de esta entidad no están bien definidos y se genera ese riesgo en el que no hay respuesta. Al final acabó la clienta del banco en listado de morosos”.
BBVA recurrirá la sanción por sus medidas de seguridad
Desde la AEPD se insiste en que “el banco tenía que haber sido capaz de frenar sus procedimientos automatizados que llevaron a esta clienta a ficheros de moros y haber sido capaz de frenar dicha contratación. La propia entidad reconoce su responsabilidad pagando una parte, mientras que la sanciones por los procedimientos de seguridad no son justas porque cree que es un fallo puntual. Esta es otra clave. BBVA dice que es un fallo puntual y la AEPD señala que es sistémico, de ahí la gravedad de la sanción. Ahí va a estar la discusión para recurrir”.
Núñez señala que las multas de la AEPD para temas relacionados con fraudes en la contratación están entre 70.000 y 80.000 euros. “Si se revisa las resoluciones anteriores del regulador, esta es más elevada. Recordemos que sólo hay un afectado, con lo cual la multa podría haber sido mayor”.
En los dos bloques de sanciones “hay una sobre lo que le pasó a esta señora, de 640.000 euros, que el banco reconoce y paga, donde se le hace un 40% de descuento, con lo que paga 384.000. Pero luego el otro bloque de medidas de seguridad donde BBVA ha pagado para conseguir del millón de euros la reducción del 20% hasta 800.000 euros pero no ha reconocido, con lo cual lo más probable es que recurra el fallo, primero en reposición y luego en vía judicial ante la Audiencia Nacional y su sección contenciosa”.
Otro dato importante de este fallo de la AEPD es que el regulador requiere una mejora de esos procedimientos de seguridad y de privacidad en los próximos nueve meses. De no hacerlo, BBVA se puede arriesgar a tener otra sanción mayor.
“Hay pocas resoluciones parecidas. A ASNEF en otra resolución le prohibía realizar un tratamiento de datos concreto. Al parecer hay un riesgo elevado de que se pueda producir dicha suplantación de identidad, de ahí que pida que revise todos sus sistemas”.
Para este experto, “el problema no es sólo que se permita la contratación por alguien que suplanta la identidad, eso es un riesgo inherente al uso de las nuevas tecnologías y es difícil evitar, sino que esta persona había avisado de la incidencia, con lo cual se agrava la sanción”.
“En esta resolución, la sanción principal es por la infracción del artículo 25 del RGPD. Hay que recordar que el principio de la protección desde el diseño fue una de las grandes novedades del RGPD”, explica este experto.
“Según el listado de la AEPD hay 20 en total. La mayoría, de administraciones públicas. Junto a ellas está la que se aplicó a Mercadona por sus cámaras de seguridad; una tercera a Radar Covid y otra a Open Bank, de 28 de julio de este año con un millón y medio al infringir los artículos 25 y 32 del RGPD”.
Dos artículos del RGPD vulnerados
Para Alba del Campo, consultora senior de Ecix Tech “en el caso que aquí nos ocupa se trata de dos cuestiones relacionadas con la forma en que se establecieron los procedimientos implantados por la entidad financiera, que fueron revelados durante las acciones de actuación, por presuntas infracciones de los artículos 25 (protección de datos desde el diseño y por defecto) y 32 (medidas de seguridad) en relación a los procedimientos de contratación del RGPD”.
Sobre el incumplimiento del artículo 25, esta experta señala que se trata del cumplimiento del principio de responsabilidad proactiva, y en particular de la protección de datos desde el diseño y por defecto, se materializa al determinar los medios de tratamiento y en el momento de propio tratamiento
“Esto supone la adopción de medidas técnicas y organizativas apropiadas, para aplicar los principios de protección de datos de manera efectiva, así como integrar las garantías necesarias en el tratamiento, para cumplir con el RGPD y proteger los derechos de los interesados”.
En este sentido, explica que “revisando el documento aportado por BBVA en relación a evitar prácticas fraudulentas, se determina que su fin es el de tratar de evitar un perjuicio patrimonial para el usuario, pero no se protege su derecho fundamental a la Protección de Datos, siendo la finalidad última de RGPD la protección de los derechos y libertades”.
A su juicio, según la AEPD, “no se trata de un documento concebido para el cumplimiento de la responsabilidad proactiva, ya que, en ese caso, se habría mencionado el análisis de riesgos, identificando los derechos y libertades de los interesados, evaluando y determinando las medidas técnicas y organizativas que garantizan la protección de datos”.
“Además, según señala la AEPD “el documento fue elaborado en 2015, es decir, cuando estaba vigente la Ley Orgánica 15/1999, que únicamente se limitaba a hacer mención de las medidas de seguridad, que ahora en la actualidad implican una parte de la totalidad de medidas técnicas y organizativas que se recogen en el artículo 25 RGPD y que deben ser implementadas por el responsable de tratamiento”.
Desde esa perspectiva es “un documento que no recoge el procedimiento para evitar los fraudes, estafas y suplantaciones de identidad en las operaciones online, ni cuenta con procedimientos para detectar operaciones fraudulentas”.
También indica de 2015 a 2023, teniendo en cuenta que la aplicabilidad del RGPD fue en mayo de 2018 (y desde entonces habiendo transcurrido cinco años), el documento mencionado no se ha adaptado a las premisas del Reglamento, ni ha sido modificado para tener un enfoque basado en el riesgo”.
Esta abogada señala que “la AEPD concluye que la entidad no cumplía con el principio de privacidad desde el diseño, por no existir un análisis de riesgos adecuado y por no abordar, en ninguno de los documentos aportados, el riesgo derivado de la pérdida o sustracción de determinada información identificativa, en el momento de quedar al descubierto datos personales que permiten la contratación a distancia de productos financieros”.
En cuanto a la infracción del artículo 32 del RGPD, Alba del Campo señala que “en primer lugar, no se refiere a que no se hayan adoptado medidas técnicas y organizativas adecuadas en el procedimiento de identificación de clientes, sino que ni en la documentación ni información aportadas por el reclamado, ni de los resultados, se puede determinar que BBVA dispusiera de un procedimiento adecuado en relación a la implantación y aplicación de medidas de seguridad apropiadas, técnicas y organizativas para evitar casos como este”.
Este artículo comprende la obligación de implementar dichas medidas, con el fin de garantizar un nivel de seguridad adecuado al riesgo, tan sólo de seguridad.
Alba del Campo comenta que la parte reclamante, a través de distintos canales de relación con el cliente, puso en conocimiento del banco la sustracción sufrida y las diversas operaciones fraudulentas que habían realizado terceras personas no autorizadas. “Esto no impidió que se continuaran realizando operaciones ilegales, lo que pone de manifiesto la ausencia de medidas de seguridad que eviten que, una vez comunicada la sustracción de información por parte de un cliente, se impida que se continúe habiendo un tratamiento de datos personales por parte de un tercero no autorizado”, subraya.
También indica que, en opinión de la AEPD, “en ninguno de los documentos aportados por BBVA se detalla las medidas concretas que la entidad tenía implantadas en previsión del riesgo de extravío o sustracción de documentación identificativa o de dispositivos que permitieran el acceso a tarjetas de crédito y la banca online”.
¿Se puede evitar el error humano?
Otro análisis diferente hace Xavier Ribas, experto en privacidad y socio director de Ribas & Asociados: “Si una entidad como el BBVA, que invierte tantos recursos en cumplimiento y en mejora de procesos, reconoce que ha cometido errores en algunas de las operaciones asociadas al bloqueo de una tarjeta robada y a las operaciones derivadas de su uso no autorizado, tenemos que plantear de nuevo hasta qué punto es actualmente predecible y evitable el error humano en un sector tan sensible como el financiero. “Se puede llegar a despreciar este esfuerzo y sancionar una actuación o una omisión que en realidad constituye un error aislado en un conjunto de millones de operaciones que han sido correctas”, aclara.
Para este abogado, “en cualquier actividad humana concurren factores ambientales, personales y estadísticos que configuran el nivel de probabilidad de que se produzca un error. Este riesgo es calculable mediante una simple fórmula matemática”. Así, señala que “el Ministerio de Trabajo ha analizado la fiabilidad humana en la prevención de errores que pueden ocasionar accidentes laborales e incluso desastres en ciertos sectores”.
En la Nota Técnica de Prevención 377 se analizan distintos métodos de cálculo y predicción del error humano. Uno de los métodos más utilizados es THERP (Technique for human error rate prediction). Esta técnica considera a la persona como una fuente de fallos, y a partir de ahí, identifica las funciones que pueden verse afectadas por ellos y estima las probabilidades de ocurrencia del error”.
A su juicio, “la fiabilidad humana es una disciplina que forma parte del campo de la fiabilidad de sistemas, en la medida en que el hombre puede ser considerado como parte integrante de un sistema”.
Desde esta perspectiva, “se considera que el componente humano es de una complejidad mucho mayor que cualquier otro componente y, por tanto, las técnicas aplicables al estudio de la fiabilidad humana o, complementariamente, del error humano son específicos y combinan aspectos psicológicos y organizativos con las habituales técnicas matemáticas”.
Ribas aclara que “en todo tratamiento de datos existe el riesgo de un error insalvable, que va a producirse a pesar de las múltiples medidas de prevención que se apliquen. Las medidas preventivas pueden reducir la probabilidad del error, pero no erradicarlo. Por ello, si el responsable del tratamiento ha acreditado un esfuerzo preventivo suficiente, debería quedar exonerado de responsabilidad en sede administrativa, no en sede civil”.
“De lo contrario, se penalizará la simple aparición del error, a pesar de los múltiples esfuerzos realizados por el responsable del tratamiento para evitarlo” comenta.
Este abogado recuerda que “en otro campo, como el de la seguridad de los datos, el Tribunal Supremo ya ha establecido que la seguridad de la información no es una obligación de resultado, sino de medios. La misma doctrina debería aplicarse a la prevención del error y concentrar la responsabilidad en la empresa que no ha sido diligente en la actividad preventiva”.
“Por otro lado, y en relación con el uso del doble factor de autenticación en la banca electrónica, es necesario recordar que ya en 1997 el Tribunal Supremo determinó que la firma autógrafa no era la única forma de signar y que la combinación de identificadores y claves concedían autoría y obligaban al usuario”.
Xavier Ribas recuerda que “la exigencia de seguridad jurídica en las transacciones online obliga a presumir que el usuario que ha utilizado el doble factor es quien dice ser, exigiéndose una mínima capacidad de obrar para el uso de estas formas de autenticación, ya que el fraude puede provenir tanto del entorno profesional como del entorno familiar, o incluso del propio usuario”.