Ibercaja Banco, sancionado con 300.000 euros por consultar reiteradamente los datos del fichero patrimonial de una antigua clienta
La entidad bancaria llegó a consultar 47 veces los datos de la consumidora, a pesar de que ya no existía ninguna relación contractual entre las partes
(Imagen: Ibercaja Banco)
Ibercaja Banco, sancionado con 300.000 euros por consultar reiteradamente los datos del fichero patrimonial de una antigua clienta
La entidad bancaria llegó a consultar 47 veces los datos de la consumidora, a pesar de que ya no existía ninguna relación contractual entre las partes
(Imagen: Ibercaja Banco)
Ibercaja Banco ha sido sancionado con 300.000 euros por consultar, hasta en 47 ocasiones y sin base legítima para ello, los datos personales de una antigua clienta en un fichero de solvencia patrimonial.
La multa administrativa ha sido impuesta por la Agencia Española de Protección de Datos, tras constatar que la actuación llevada a cabo por la entidad bancaria es contraria a la normativa de protección de datos, ya que las consultas se realizaron sin que subsista una relación contractual válida o cualquier otra causa legítima que justifiquen dichos accesos.
Los hechos
La resolución (disponible en el botón ‘descargar resolución’) llega a raíz de que el pasado 1 de octubre la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, acordase iniciar un procedimiento sancionador contra Ibercaja Banco debido a una reclamación interpuesta por una consumidora ante la Agencia y en la que se informaba de que, dicha entidad bancaria podría haber llevado a cabo una actuación que vulneraría la normativa de protección de datos.
En dicha reclamación interpuesta contra Ibercaja, la reclamante informaba a la AEPD de que la relación contractual que tenía con la entidad bancaria finalizó en febrero del año 2022 tras la cancelación de un contrato hipotecario. Sin embargo, tuvo conocimiento de que Ibercaja, desde la fecha en la que finalizó la relación contractual hasta enero de 2023, accedió a sus datos personales existentes en el fichero patrimonial Badexcug Experian hasta en 47 ocasiones.
Tras conocer tales hechos, la consumidora envió un correo al Servicio de Atención Ciudadana (SAC) de Ibercaja manifestando que las consultas de sus datos personales se realizaron de manera ilegítima, ya que no ostentaba ningún derecho de crédito desde hacía más de un año. Asimismo, la consumidora solicitó al banco que cesara de manera inmediata con esas prácticas.
La entidad bancaria respondió, dos meses más tarde, mediante correo a la mujer informando que procedían a bloquear sus datos personales —aunque los accesos al fichero ya habían ocurrido—.
El banco no acreditó la licitud de los accesos a los datos
La AEPD dio traslado a Ibercaja Banco de la reclamación. La entidad, en su respuesta al traslado de actuaciones, justificó dichos accesos aduciendo que, en el marco del acuerdo transaccional, la entidad había realizado una quita parcial de la deuda, ya que el valor del inmueble cedido no cubría la totalidad del importado adeudado.
Asimismo, afirmó que, tras la firma del acuerdo, procedió a regularizar la situación del préstamo, eliminando la información del mismo en los ficheros de solvencia patrimonial, hasta la cancelación definitiva de la operación mediante el bloqueo de la información en su base de datos.
Tras analizarse la documentación que obraba en el expediente, la AEPD dictó resolución acordando el archivo de la reclamación por la falta de indicios racionales de la existencia de una infracción en el ámbito competencial de esta Agencia, no procediendo, en consecuencia, la apertura de un procedimiento sancionador.
La consumidora interpuso recurso potestativo de reposición contra dicha resolución en el que mostró su disconformidad con la resolución impugnada, solicitando que continúe la tramitación de la reclamación inicial presentada en la AEPD.
La reclamante defendía en su recurso que la entidad bancaria había realizado consultas en reiteradas ocasiones a sus datos de morosidad en el fichero sin tener relación contractual alguna con aquella y que no se tomó en cuenta correctamente los informes y la documentación presentada pues no fueron valorados adecuadamente ya que, por sí mismos, tenían un valor probatorio clave de lo que estaba diciendo.
La AEPD estimó el recurso ya que, en efecto, el banco no había acreditado la licitud de los accesos a los datos personales de la consumidora.
El acceso a los datos fue ilegítimo
En la resolución dictada por la AEPD se señala que, aunque la entidad justificó los accesos ante la Agencia tras el traslado de actuaciones por parte de esta al banco, en ningún momento Ibercaja ha respaldado sus justificaciones con algún documento que pueda desvirtuar la reclamación que se ha interpuesto contra él.
Por tanto, la AEPD considera probado que la entidad accedió a los datos del reclamante contenidos en los ficheros de solvencia patrimonial en al menos 47 ocasiones posteriores a la finalización de la relación contractual.
En este sentido, el tratamiento de datos requiere la existencia de una base legal que lo legitime, tal y como establece el artículo 6.1 del Reglamento General de Protección de Datos (RGPD).
Y en el caso particular, cuando se refiere al tratamiento de los datos personales en el ámbito de los sistemas de información crediticia, el artículo 20.1.e) de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), presume “un tratamiento lícito de los datos personales de un particular cuando son consultados en la base de datos del fichero de solvencia patrimonial por quien mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o éste le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica”.
300.000 euros de multa
En consecuencia, dado que la consulta de los datos personales en el fichero de solvencia patrimonial se realizó sin que subsista una relación contractual válida o cualquier otra causa legítima que justifique dicho acceso, la misma es constitutiva de una infracción imputable a Ibercaja Banco por vulnerar el artículo 6.1 del RGPD, en relación con el artículo 20.1 e) de la LOPLDGDD.
Por ello, la Agencia Española de Protección de Datos ha sancionado a la entidad bancaria con una multa administrativa 300.000 euros.
Dicha cuantía que se ha fijado teniendo en cuenta las circunstancias concurridas en el presente caso, como fueron: la duración de la infracción (el banco accedió ilegítimamente a los datos durante 9 meses); la alta vinculación de la actividad del infractor con la realización de tratamiento de datos personales (esta circunstancia determina un mayor grado de responsabilidad, exigencia y profesionalidad de la entidad reclamada); y la intencionalidad o negligencia en la infracción (la entidad accedió a los datos hasta en 47 ocasiones sin la correspondiente legitimidad).