BBVA, sancionado con 70.000 euros después de que un suplantador vaciase la cuenta de una clienta

La Agencia Española de Protección de Datos ha sancionado al banco BBVA con 70.000 euros por vulnerar la información personal de una clienta a la que vaciaron la cuenta haciendo uso del DNI que esta había extraviado durante sus vacaciones en el extranjero. La entidad bancaria entregó el dinero al suplantador, en ventanilla y en persona, sin verificar siquiera la fotografía del documento ni advertir que la firma del DNI y la de la persona que retiró el dinero eran distintas. La Administración considera que se ha producido una grave negligencia fruto de una falta de diligencia el incumplir incluso con los protocolos internos del banco.

La reclamante perdió su DNI mientras pasaba sus vacaciones en Italia y lo denunció en una comisaría de Venecia. Dos meses después, ya en España, detectó que los fondos de su cuenta bancaria, 9.400 euros, habían desaparecido, por lo que interpuso denuncia ante la policía y una reclamación en el banco por haber entregado los fondos de su cuenta a una tercera persona sin su autorización ni consentimiento.

El BBVA asumió el error y la falta de diligencia en la comprobación de la identidad de la clienta y le reintegró todo el dinero. No obstante, la mujer interpuso otra reclamación en la que solicitaba ser indemnizada con un 20% de la cuantía que le habían sustraído como compensación por los daños morales, a lo que la entidad respondió que estos debían ser acreditados por ella y tener una base objetiva.

El banco señaló que la reclamante no había puesto en su conocimiento que había extraviado el DNI, pero no aportó documentación sobre los trámites realizados ni sobre la información y documentos que fueron facilitados al solicitante. La reclamante, por su parte, afirmó “desconocer de qué manera han podido acceder a sus datos personales y cómo han sido capaces de sacar el dinero en persona”.

(Foto: E&J)

Según el Reglamento de Protección de Datos, será lícito el tratamiento de datos cuando exista consentimiento del titular; cuando sea, por ejemplo, necesario para satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o cuando exista una relación contractual. En este caso, en efecto, existía una relación contractual, pero no con la tercera persona que se hizo pasar por la reclamante. “Quien estaba haciendo uso de los datos era una persona ajena a la relación contractual”, señala la AEPD.

La Ley 10/2010 permite denegar operaciones a clientes si estos no se identifican correctamente, indica la sentencia. Además, los propios protocolos del banco, exigen identificar “si la persona que porta el documento es la misma que aparece en la fotografía del documento, (…), observar al propio titular físicamente y determinar si su aspecto y edad coincide con el de la fotografía” y “no basta una mirada superficial del DNI. Hay que observarlo con detalle”.

Además, “lo que resulta paradójico es que la copia del DNI que se aportó en ese momento para realizar la operación fue objeto de digitalización por la misma persona que facilitó el dinero al usurpador/a, es decir, que el DNI aportado en el momento de la disposición fue escaneado y registrado en la base de datos de la entidad (…) Por tanto, lo que antecede evidencia es que el mismo día de la entrega de efectivo, por el empleado de la sucursal se efectuó la digitalización en los sistemas de la entidad del DNI empleado en la operación, sin que se apercibiera de que quien tenía delante no era quien decía ser, no garantizando la seguridad de los datos”, se puede leer en la resolución.

Se ha producido una negligencia, “una grave falta de diligencia que hubiera sido vencida si se hubieran atendido correctamente los procedimientos y protocolos implantados, cotejando y verificando correctamente tanto la fotografía como la firma del documento que se le presentaba junto al de Disposición en Efectivo” o, como expresa en otro punto de la resolución, este comportamiento hubiese sido vencido “si se hubieran adoptado los protocolos y cautelas establecidas”. En las obligaciones de medios, el compromiso que se adquiere es el de aportar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización, algo que no habría sucedido en este supuesto.

Edificio de la Agencia Estatal de Protección de Datos (Foto: Archivo)

Por ello, el reclamado habría vulnerado el artículo 6 del Reglamento relativo a la legitimidad del tratamiento y el 32 sobre la seguridad del tratamiento, teniendo en cuenta que ha incumplido con las normas de cuidado más básicas y no se han adoptado medidas de seguridad adecuadas al riesgo. “La documentación obrante en el expediente evidencia que el reclamado ha vulnerado el artículo 32 del RGPD, al no tener implantadas y no utilizar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en este tratamiento”, afirman.

La AEPD rechaza la alegación del reclamado para que no se le impongan dos sanciones porque, sostiene, existe un concurso medial de infracciones. La AEPD rechaza dicha alegación atendiendo al RGPD, que establece que “si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves”.

Teniendo en cuenta que la entidad investigada es una de las grandes empresas dentro de su sector, con un volumen de ventas de más de un millón de euros y que su actividad ordinaria implica el “constante y abundante manejo de datos de carácter personal”, se impone una multa de 50.000 euros por infringir el artículo 6.1 del RGPD y de 20.000 euros por la infracción del 32.1 del mismo reglamento.