Sanción de 200.000 euros al BBVA por firmar la política de datos de sus clientes en su nombre
Un trabajador de la entidad indicó que esta forma de actuar del banco era habitual “para agilizar los trámites”
(Imagen: BBVA)
Sanción de 200.000 euros al BBVA por firmar la política de datos de sus clientes en su nombre
Un trabajador de la entidad indicó que esta forma de actuar del banco era habitual “para agilizar los trámites”
(Imagen: BBVA)
El Banco Bilbao Vizcaya Argentina, más conocido como BBVA, ha sido sancionado con 200.000 euros por haber firmado en nombre de unos clientes, y sin consentimiento de los mismos, la política de datos de la entidad bancaria.
Con la firma de los clientes en dicho documento, se otorgaba consentimiento a la entidad bancaria para que tratarán sus datos personales con fines comerciales, sin embargo, las firmas manuscritas de un matrimonio que aparecían en los citados documentos no eran suyas y cuando acudieron a la sucursal del banco para exponer lo sucedido, un empleado que les atendió les indicó que eso era algo que venían haciendo habitualmente “para agilizar los trámites”.
Estos hechos conocidos constituyen la comisión de un tratamiento ilícito de los datos personales de los clientes por parte del BBVA, motivo por el cual la Agencia Española de Protección de Datos ha dictado resolución (disponible en el botón ‘descargar resolución’) imponiendo al banco una sanción de multa administrativa de 200.000 euros.
(Imagen: E&J)
Las firmas manuscritas en los documentos eran falsas
La resolución llega a raíz de que el pasado mes de diciembre la Agencia Española de Protección de Datos (AEPD) decidiera iniciar un procedimiento sancionador a BBVA después de que un matrimonio interpusiera ante dicha Agencia una reclamación contra el citado banco.
En la reclamación se informaba que el matrimonio había solicitado a la entidad bancaria información en relación con un préstamo hipotecario, pero que sin su consentimiento, BBVA había firmado (haciéndose pasar por ellos) un documento denominado ‘Política de Protección de Datos Personales y Declaración de Actividad Económica’.
Dado que la pareja no reconoció ninguna de las firmas manuscritas que obraran en los citados documentos, acudieron a una sucursal de la entidad bancaria exponiendo lo sucedido, exponiendo la falsedad de aquellas firmas e indicando que deberían haber contactado con ellos para que se personasen en la oficina para firmar tal documentación. No obstante, el empleado de la sucursal que les atendió les indicó que eso —firmar la política de protección de datos en nombre de los clientes— era algo que solían “hacer con normalidad para agilizar los trámites”.
Junto a la reclamación la parte reclamante aportó una copia de la documentación controvertida en la que constan sus datos personales, las firmas falsas manuscritas y también aparecen marcadas tres casillas relativas a la otorgación del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de BBVA y empresas colaboradoras, así como para la elaboración de perfiles.
(Imagen: BBVA)
La entidad bancaria reconoció los hechos
La AEPD dio traslado de dicha reclamación a la entidad bancaria para que esta procediese a su análisis e informase de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
BBVA, por su parte, contestó a la Agencia que con la documentación que acompañaba a la reclamación no era posible identificar al reclamante y responder al requerimiento, por lo que solicitaba información que permitieran identificar a dicha parte, ya que la enviada era “insuficiente por estar la información ilegible”. No obstante, la AEPD le contestó al banco que con la información remitida disponía de lo necesario para dar respuesta al traslado.
Una vez la entidad bancaria logró identificar qué expediente de clientes era el controvertido y que había dado lugar a dicha reclamación, informó a la AEPD de que lo ocurrido con la parte reclamante era un “hecho aislado y puntual” y que una vez el banco tuvo conocimiento de lo ocurrido procedió a investigar los hechos.
“La relación contractual con los reclamantes es extensa en el tiempo y existen multitud de documentos suscritos por su persona que evidencian que, salvo el caso que nos ocupa, BBVA siempre ha obrado con la máxima diligencia y respeto de la normativa en materia de protección de datos”, defendía la entidad bancaria, “de lo investigado se desprende que el gestor de la oficina no respetó el procedimiento de firma de documentos por parte de los clientes a pesar de que BBVA tiene establecidos los debidos procesos de obtención de firma de clientes y los empleados conocen a la perfección dichos procesos”.
Para finalizar, el banco aseguraba a la Agencia que, exceptuando este hecho aislado y puntual, la entidad había cumplido con todas las imposiciones legales previstas en el Reglamento General de Protección de Datos en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
(Imagen: BBVA)
BBVA vulneró el principio de licitud del tratamiento de datos personales
Los límites legales del tratamiento de datos personales vienen establecidos en el artículo 6.1 del Reglamento General de Protección de Datos (RGPD). Es decir, dicho precepto legal dispone los supuestos que permiten considerar lícito el tratamiento de datos personales realizado.
En el presente caso, la entidad bancaria reclamada, en su condición de responsable del tratamiento de datos personales, ha realizado un tratamiento de los datos de la parte reclamada, tales como su nombre y apellidos, número del documento nacional de identidad, dirección, fecha de nacimiento, estado civil, nivel de estudios e ingresos.
Sin embargo, el documento que contiene los datos personales de los clientes y que otorgaba a la entidad bancaria el consentimiento de tratar esos datos con fines comerciales va acompañado de unas firmas manuscritas falsas, ya que los propios clientes aseguran que ellos no firmaron.
El banco por su parte, manifestó a la AEPD en el marco del presente procedimiento sancionador que, tras haber investigado los hechos, “el gestor de la sucursal bancaria no respetó el procedimiento de firma de documentos por parte de los clientes”. Para la Agencia, con esa manifestación hecha por parte de BBVA, el banco “parece reconocer así los hechos y, por lo tanto, la presunta ausencia de base de legitimación para el tratamiento de datos personales del reclamante”.
En consecuencia, ese tratamiento de datos sin base de legitimación realizado por parte de la entidad bancaria constituye una vulneración del principio de licitud previsto en el artículo 6.1 del RGPD, y dicha infracción cometida al vulnerar el citado precepto legal ha llevado a la Agencia Española de Protección de Datos a imponer al BBVA una sanción de multa administrativa de 200.000 euros.
