La Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado este mes de octubre la sanción de un millón de euros (1.000.000€) que ha impuesto a Banco Bilbao Vizcaya Argentaria (en adelante, BBVA) como consecuencia de incumplir el Reglamento General de Protección de Datos (en adelante, RGPD). A continuación, exponemos brevemente las principales causas de la sanción, así como los argumentos que la AEPD emplea para terminar sancionando a la entidad financiera.
La sanción es impuesta por dos infracciones distintas, pero conectadas entre sí:
- 500.000 euros por infringir los principios de privacidad desde el diseño y privacidad por defecto del RGPD.
En concreto, la AEPD sanciona al BBVA por la inexistencia de un análisis de riesgos adecuado. En este sentido, la AEPD establece que “ni uno solo de los documentos aportados [por BBVA] abordaba el riesgo de que cuando un cliente pierde, o le es sustraída, determinada documentación identificativa, (o los métodos o dispositivos para el acceso a su banca online) quedan al descubierto los datos personales que permiten la contratación a distancia de productos financieros.” […] “Los documentos aportados no contienen ningún análisis de este riesgo y, con ello, no arbitraban medidas técnicas u organizativas que podrían evitar la lesión del derecho fundamental a la protección de datos, y junto a él, los bienes y derechos patrimoniales de que son titulares los clientes de la entidad bancaria”.
En concreto, la AEPD se refiere a un documento denominado “Prevención del fraude y de la estafa”, elaborado con anterioridad a la entrada en vigor del RGPD, cuya finalidad era la de tratar de evitar prácticas fraudulentas de las que se pudiera derivar un perjuicio para la entidad, y no la de “proteger el Derecho Fundamental a la protección de datos del usuario”.
- Los restantes 500.000 euros de sanción responden a la falta de medidas de seguridad en relación con los procedimientos de contratación de productos financieros.
Tras la investigación llevada a cabo, y tras analizar las medidas de seguridad con las que cuenta BBVA, la AEPD llega a la conclusión de que “existen evidencias de que BBVA no disponía de un procedimiento de las medidas de seguridad para la protección de los datos personales apropiadas en función de los posibles riesgos estimados”.
En virtud de todo ello, la AEPD resuelve, y sanciona con un millón de euros (1.000.000€) a la entidad financiera BBVA.
