La Agencia Española de Protección de Datos ha impuesto la mayor sanción de su historia al banco por infracción de tres artículos del Reglamento General de Protección de Datos.
Las infracciones cometidas por BBVA son dos. Una de ellas, considerada como muy grave por la AEPD, se trata de la vulneración del artº 6 RGPD relativo a la obtención del consentimiento del cliente y lleva aparejada una sanción de 3 millones de euros. La segunda, de 2 millones de euros, se refiere a la obtención de datos del interesado (arts. 13 y 14 RGPD).
Además de la sanción, la AEPD impone al BBVA la implantación de una reformulación de su gestión de protección de datos acerca del deber de información al usuarios así como la obtención del consentimiento.
Sanciones cada vez más cuantiosas
La cuantía de la sanción, 5 millones de euros, es la más elevada de las que ha impuesto nunca la Agencia Española de Protección de Datos. Supera ampliamente la mayor impuesta hasta ahora, de 1,2 millones de euros a Facebook, en 2017. En esa caso la razón fue la recopilación, almacenamiento y utilización d datos especialmente protegidos sin contar con el consentimiento de los usuarios. Si bien son dos sanciones, con cuantías de 2 y 3 millones de euros, incluso la menor de las mismas ya superaba la anterior sanción más elevada.
Recientemente te contábamos aquí en
SILICON cómo la autoridad de protección de datos
francesa o la
irlandesa están iniciando procesos de investigación o imponiendo sanciones cada vez más cuantiosas a las infracciones más flagrantes de la normativa comunitaria de protección de datos. Hablamos de multas de entre 35 y 100 millones de euros impuestas a las mayores multinacionales tecnológicas como Amazon y Google.
Estas elevadas sanciones obedecen a la distinta tipificación de la normativa comunitaria respecto a legislaciones previas como la anterior LOPD española, que contemplaba un tope de 600.000 euros. En su lugar el RGPD eleva las sanciones máximas (por cada infracción) hasta los 20 millones de euros o el 4 % del volumen de negocio anual.
Las infracciones del BBVA
Como hemos apuntado, una de las sanciones tiene que ver con la vulneración del deber de información del banco s sus clientes y usuarios. La AEPD considera que la política de privacidad del banco no era suficientemente clara.
La otra infracción se refiere a la vulneración del principio de legitimación. El BBVA no habría obtenido de manera adecuada el consentimiento para el tratamiento de los datos y habría empleado unas bases jurídicas inadecuadas.
Esencialmente el BBVA habría dado por hecho que se daba por bueno el consentimiento por el hecho de no marcar una casilla, algo que infringe los preceptos contenidos en el RGPD. En cuanto al interés legítimo, el banco consideraba que bastaba como finalidad para obtener información la mera relación con la entidad con fines publicitarios, pero la AEPD considera que la necesidad del banco de contar con esa información es un interés, no una finalidad.
Posibilidad de recurso
La resolución de la AEPD puede ser recurrida e incluso aducirse a la vía judicial Contencioso-Administrativa. Los expertos en materia de protección de datos indican que es poco probable que la sanción pueda ser anulada, aunque sí podría llegar a reducirse en vía judicial.
