La Agencia Española de Protección de Datos multa al BBVA por facilitar a una clienta el domicilio particular del que fuera su abogado.

Mucho cuidado con desvelar un domicilio particular… ¡La Agencia Española de Protección de Datos puede darte un buen susto!

En su condición de letrado y actuando en nombre y representación de uno de sus clientes, el operador jurídico presentó una reclamación ante la entidad bancaria. Sin embargo, la financiera acusó recibo mediante un escrito dirigido al domicilio personal del abogado, en lugar del correspondiente a su despacho profesional.

Además, el BBVA facilitó a la clienta del abogado este documento de acuse de recibo de la reclamación formulada, desvelándose el dato relativo de la concreta dirección del domicilio personal del jurista.

El abogado era cliente del BBVA, como titular de una cuenta bancaria

Así pues, tras tener conocimiento de tal circunstancia, en mayo de 2021, el letrado interpuso una reclamación ante la AEPD al interpretar que la entidad bancaria habría vulnerado el deber de confidencialidad de datos.

En septiembre de 2021, tras darle traslado de dicha reclamación a la financiera reclamada para que informase a la Agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, el BBVA argumentó que la respuesta emitida por la entidad para acusar recibo de la reclamación originaria presentada por el abogado en nombre de su clienta, fue enviada a la única dirección conocida por la entidad (que constaba en la base de datos de su clientela), ya que en tal reclamación no se precisaba ninguna dirección a efectos de comunicación.

El BBVA no obró con la diligencia a la que venía obligado

En primer término, la AEPD interpreta que la utilización del dato personal del abogado relativo a su domicilio particular para la tramitación de una reclamación formulada por el mismo en nombre y representación de su clienta, sin que exista causa legítima para ello, supone un incumplimiento del principio de “limitación de la finalidad” regulado en el art. 5.1.b) del RGPD.

En palabras de la institución dirigida por Mar España Martí, el BBVA “realizó un tratamiento de datos personales de la parte reclamante incompatible con las finalidades que determinaron la recogida de tales datos”.

Sede del BBVA en Madrid. (Foto: EFE)

En segundo lugar, la AEPD alerta que, en el presente supuesto, tal y como hemos descrito en líneas anteriores, la entidad reclamada “no ha adoptado de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos de sus clientes, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados”.

Consecuencia de ello, el BBVA también habría vulnerado lo dispuesto en el art. 32 del RGPD

En tercer lugar, la Agencia recuerda que el ya mencionado art. 5 del RGPD establece los principios que han de regir en el tratamiento de datos personales. En concreto, entre otros, allí se menciona el principio de integridad y confidencialidad.

Según la letra f) del apartado primero del mencionado precepto, los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (…)”.

Este deber de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por sus titulares

Pues bien, de la documentación obrante en el expediente se desprenden “indicios suficientes” para interpretar que el BBVA también vulneró el art. 5 del RGPD, que regula el deber de confidencialidad, “materializado en la divulgación a terceros de los datos personales de la parte reclamante, en concreto, el relativo a su domicilio particular”. Según la AEPD, “se trata de una difusión de datos personales para la que la parte reclamada no dispone de base jurídica que la legitime”.

Según el banco sancionado, la incidencia se debió a un error puntual y aislado

Por otro lado, en relación al supuesto error puntual y aislado, la Agencia subraya que, en modo alguno, tal argumento excluiría su responsabilidad, puesto que, según reiterada jurisprudencia, “no puede estimarse la existencia de tal error cuando éste es imputable a quien lo padece o pudo ser evitado con el empleo de una mayor diligencia”.

En particular, en este caso, “el supuesto error es incompatible con la diligencia que la parte reclamada viene obligada a observar”, agrega la reciente resolución de 17 páginas.

70.000 euros de sanción

A efectos de fijar el importe de las sanciones a imponer en el presente caso, la AEPD ha estimado procedente graduar las mismas de acuerdo con los siguientes criterios.

Como agravantes

• La intencionalidad o negligencia de la infracción.

En este caso, el BBVA es una entidad que realiza tratamientos de datos personales de manera sistemática y continua y debería “extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos”.

• La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

Existe una “alta vinculación” de la actividad del infractor con la realización de tratamientos de datos personales. Entonces, tal circunstancia determina un “mayor grado de exigencia y profesionalidad” de la entidad bancaria.

• La condición de gran empresa y volumen de negocio de BBVA.

Como atenuantes

• El número de interesados afectados.

En este supuesto, la infracción es una anomalía “que afecta únicamente a la parte reclamante”.

Así las cosas, considerando los factores expuestos, la AEPD ha decidido sancionar al BBVA con 70.000 euros por las infracciones del art. 5.1 b), 32 y 5.1.f) del RGPD (25.000 euros, 20.000 euros y 25.000 euros, respectivamente).

Fuente: economistjurist.es

Si esta información te ha resultado útil, te sugerimos que sigas navegando por los siguientes enlaces:

¿9.000 euros de multa por enviar un email sin copia oculta?

Así es la cláusula que te protegerá de inquilinos morosos

8.000 euros de indemnización por ser incluido en un fichero de morosos