BBVA, sancionado con 200.000 euros por borrar la información del móvil de empresa que previamente le habían regalado a un exempleado

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 200.000 euros al BBVA por bloquear el acceso de un exempleado a un móvil de empresa que, previamente, la compañía le había regalado. Una suspensión que provocó que el individuo perdiera toda la información guardada en el dispositivo que, tras dejar el banco —y mediante acuerdo con el BBVA— había pasado «a ser de su propiedad y por tanto su uso exclusivamente personal».

Según consta en la resolución (cuyo contenido puede consultarse pinchando en ‘descargar sentencia’), el caso fue denunciado a la AEPD después de que un exempleado del BBVA descubriera que ya no tenía acceso a su teléfono, el cual había pasado a ser de su propiedad tras abandonar el banco. El motivo de este traspaso es que —de acuerdo con las políticas internas de la empresa— el individuo tenía «la posibilidad de adquirir, a título personal, el terminal corporativo». Derecho al que se había acogido tras romper la relación laboral con el BBVA.

Como consecuencia, el hombre contactó con el banco para solicitar el restablecimiento completo de su acceso al dispositivo. Sin embargo, el BBVA le informó que, si deseaba seguir utilizando el teléfono, tendría que resetearlo, lo que implicaría la pérdida de toda la información almacenada. Ante su negativa, el banco le explicó que el borrado de la información debía haberse realizado al finalizar su relación laboral en septiembre de 2021 y que, cuando advirtieron el error en junio de 2022, procedieron a bloquear el terminal, todo ello debido a la “falta de legitimación legal” del extrabajador para que continuara en la plataforma de gestión de dispositivos corporativos.

En base a estos hechos, el exempleado presentó una reclamación ante la Agencia Española de Protección de Datos (AEPD) alegando —de conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)— una vulneración del artículo 6.1 del Reglamento General de la Protección de Datos (RGPD).

Este artículo, tal y como recoge el mismo precepto legal, establece que » el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física […]».

(Imagen: E&J)

El banco no estaba capacitado para borrar información personal del extrabajador

En contraposición, el BBVA manifestó que sí se encontraba facultada para eliminar los datos del terminal, tanto durante la relación laboral, como a la finalización de la misma, como finalmente así ocurrió. En este sentido, aunque el borrado de datos se llevó a cabo varios meses después de que el trabajador rescindiera su contrato, el banco argumentó que «el lapso temporal no es susceptible de ser catalogado como incumplimiento y menos como infracción de la normativa de protección de datos».

Bajo esta valoración, resulta imprescindible evocar la segunda condición del ‘Proyecto Corporate Smartphone’, el cual desprende que existía la obligación por parte del banco de borrar la información del terminal: «La empresa se compromete a eliminar en ese momento [en el momento en el que el trabajador compra el dispositivo electrónico] cualquier aplicación corporativa, restricción, o configuración del terminal, preinstaladas para cubrir las necesidades propias de la empresa».

Cuestión que también estaba prevista en la segunda condición del documento, la cual recoge que «la empresa se reserva el derecho de eliminar, remota o físicamente, todos los datos que se encuentren en las aplicaciones corporativas contenidas en el dispositivo de comunicación móvil. El derecho a eliminar dicha información puede ejercerlo la empresa en cualquier momento durante la duración del contrato del empleado con la Empresa, o posteriormente al mismo, sin necesidad de aviso previo».

No obstante esto, si bien las condiciones de uso del terminal móvil corporativo otorgaban a la empresa el derecho a eliminar todos los datos que se encontraban en las aplicaciones corporativas contenidas en el dispositivo “en cualquier momento durante la duración del contrato del empleado con la empresa, o posteriormente al mismo”, lo que no contenía o concedía dicho condicionado es que la parte reclamada pudiera eliminar los datos no incluidos en dichas aplicaciones corporativas y que afectaban a datos e información de carácter personal de la parte reclamante contenidas en el dispositivo adquirido.

Dado el perjuicio que esto causó en el exempleado, la AEPD ha considerado pertinente imponer una sanción de 200.000 al BBVA, de acuerdo con lo contenido en el artículo 83.5 a) del RGPD, que considera que la infracción de “los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9” es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, “con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.