Una resolución de la Agencia Española de Protección de Datos (AEPD) , publicada en el BOE el pasado 19 de octubre (al tratarse de una sanción de más de un millón de euros cometida por una persona jurídica) recoge una sanción de 1.184.000 euros a BBVA por haber cometido cinco infracciones graves.

Tres de las infracciones están relacionadas con la denuncia presentada por una clienta a la que, tras robarle el bolso, le suplantaron la identidad y compraron varios productos a su nombre. Esta infracción está relacionada con el artículo 32 del RGPD (relacionado a la seguridad en el tratamiento de datos personales.)

Las otras dos infracciones están vinculadas con el artículo 25 del RGPD (relacionado con la protección desde el diseño y por defecto) y se centran en la forma en la que se establecieron los procedimientos implantados por el BBVA y que fueron revelados a través de la información aportada por la entidad financiera durante las actuaciones de investigación.

Caso investigado: robo de identidad

Cuando la víctima fue consciente del robo de su bolso, se puso en contacto con su banco para cancelar de forma inmediata la tarjeta de crédito. Sin embargo, los delincuentes ya habían obtenido un préstamo de 4.000 euros del BBVA a través de la aplicación de banca en línea, incluso después de que la tarjeta se cancelara.

A pesar de que la tarjeta ya estaba inactiva, los delincuentes continuaron realizando operaciones en nombre de la víctima. La entidad permitió que terceros accedieran a sus datos, vaciaran sus cuentas, realizaran transacciones y cargaran facturas, además de contratar nuevos productos y enviar transferencias a América Latina. Estas transacciones no autorizadas derivaron en deudas que el BBVA exigió a la víctima.

Así, el BBVA exigió el pago de estas deudas a través de varias empresas de recuperación. Además, en una correspondencia relacionada con la resolución del problema, el banco confirmó que había cargos de banca en línea que la víctima no había realizado.

Sentencia

La denuncia de la víctima acabó en juicio y el juzgado de Primera Instancia Nº10 de Barcelona determinó que el director de la sucursal estaba al tanto de la suplantación de identidad.

El banco presentó a la AEPD un documento titulado «Prevención del Fraude y la Estafa» con fecha de 1 de junio de 2015, de carácter interno, junto con otra documentación, para demostrar que cumplía con los requisitos de seguridad en el tratamiento.  Esta documentación, anterior al Reglamento General de Protección de Datos (RGPD) actual, no incluía un procedimiento para prevenir fraudes, estafas o suplantaciones de identidad en las operaciones en línea.

La AEPD concluyó que el BBVA no había evaluado adecuadamente el riesgo desde el punto de vista del derecho fundamental a la protección de datos en casos de pérdida o sustracción de documentos de identificación o dispositivos que pudieran ser utilizados para causar daño financiero al titular y enriquecimiento ilegítimo de los estafadores. Asimismo, también se determinó que de la documentación aportada por la entidad bancaria no había quedado acreditado que se hubiera tenido en cuenta el riesgo derivado de la pérdida o sustracción de datos identificativos.  

El banco alegó que los eventos ocurrieron debido a «una serie de errores», pero la AEPD consideró en su resolución que esto representaba un riesgo en el que los clientes podrían perder el control sobre sus datos personales, un riesgo que debe ser anticipado por el responsable de procesar los datos en el momento en que el cliente notifica la pérdida de los medios de identificación o autenticación. Además de la multa, la Agencia ha requerido a la entidad bancaria que implante las medidas correctoras necesarias para garantizar la seguridad de los datos personales de sus clientes.