PHISHING: EL BBVA DESVELA POR ERROR A UN TERCERO EL SALDO DE UNA CUENTA BANCARIA DE UNA CLIENTA. El banco reconoce su error y ha abonado 48.000 euros, en concepto de sanción.
La Agencia Española de Protección de Datos ha sancionado con 48.000 euros al BBVA porque uno de sus empleados de caja reveló, por error, a un tercero desconocido, el saldo de una cuenta bancaria de una clienta de la entidad.
Como era habitual cada mes, el inquilino de un inmueble realizó en un cajero automático del BBVA un ingreso en concepto de alquiler a la propietaria del piso que habitaba.
Sin embargo, de forma extraordinaria, como el cajero no le facilitó ningún documento acreditativo del ingreso, el arrendatario entró en la oficina de la entidad bancaria para que uno de sus agentes le facilitara un comprobante donde constara tal pago.
El BBVA lamentó el error cometido, le pidió disculpas a la clienta y le comunicó que había tomado las medidas oportunas para que no volviese a ocurrir. Para su sorpresa, en el aludido justificante expedido por el BBVA constaba el saldo de la cuenta del propietario del inmueble.
La propietaria, tras tener conocimiento de tal circunstancia, interpuso una reclamación ante la AEPD. Esta última dio traslado de dicha reclamación a la entidad bancaria para que procediese a su análisis e informase a la Agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
En este sentido, el BBVA reconoció el error puntual y humano del empleado de caja de la oficina por no suprimir el importe del saldo de la cuenta de la propietaria e informó a la AEPD que, en el mismo momento en el que la mujer se puso en contacto con la oficina para pedir explicaciones por lo sucedido, se disculpó por ello y le comunicó que había tomado las medidas oportunas para que no volviese a ocurrir.
El BBVA reconoce su error y paga 48.000 euros. Una vez admitida a trámite la reclamación presentada por la afectada, la AEPD evidenció que, en el presente caso, nos enfrentamos ante una brecha de seguridad de datos personales categorizada como una brecha de confidencialidad, al haberse facilitado a una tercera persona, ajena a la parte reclamante, el saldo de su cuenta bancaria.
Así, de conformidad con lo descrito en líneas anteriores, la Agencia llegó a la conclusión de que, sin perjuicio de lo que resultase en la fase de instrucción, los hechos aquí acontecidos podrían ser constitutivos de dos infracciones, imputables al BBVA, por vulneración del art. 5.1.f) del RGPD y del art. 32 del mismo cuerpo normativo.
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, la institución dirigida por Mar España Martí tuvo en cuenta las siguientes circunstancias agravantes:
El grado de responsabilidad del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que haya aplicado:
El BBVA, como responsable del tratamiento, tendría que implementar medidas adecuadas para evitar la exposición de datos personales a terceros no autorizados. Así, “dado que en el presente caso se ha producido una brecha de confidencialidad, cabe suponer que no se habían adoptado medidas”, razona la Agencia.
La vinculación de la actividad del infractor con la realización de tratamientos de datos personales:
Con el elevado número de clientes con el que cuenta y el manejo de un importante registro de datos personales, el BBVA tendría que tener experiencia suficiente y contar con el adecuado conocimiento para el tratamiento de dichos datos.
Así las cosas, sin perjuicio de lo que se acordase en fase de instrucción, la Agencia fijó inicialmente la sanción a imponer en la cifra de 80.000 euros (50.000 euros por la primera infracción y 30.000 euros por la segunda).
Finalmente, en la última semana del pasado mes de abril, tras acordarse el inicio del procedimiento sancionador por la presunta infracción de los dos preceptos ya mencionados, el BBVA, reconociendo su responsabilidad, procedió al pago de 48.000 euros haciendo uso de las dos reducciones o “rebajas” previstas legalmente: reducción del 20% por reconocimiento de responsabilidad y reducción del 20% por pago voluntario.