Bankinter facilita por error a un tercero un informe sobre la cartera de inversiones de un cliente

La Agencia Española de Protección de Datos ha sancionado con 56.000 euros a Bankinter por permitir el acceso a un tercero no autorizado a toda la información financiera relativa a la cartera de inversiones de un cliente.

El caso

En abril de 2021, el cliente de Bankinter interpuso una reclamación ante la AEPD denunciando que la entidad bancaria había remitido a una tercera persona, sin su consentimiento, un Informe Mensual de Cartera de Inversiones que incluía información financiera relativa al reclamante y a sus familiares.

En particular, el usuario tuvo conocimiento de tal circunstancia tras la celebración de la audiencia previa de un procedimiento judicial en el que su expareja aportó en dicho acto el aludido informe emitido por Bankinter.

En el mencionado informe se informaba de todas las posiciones bancarias que tenía el cliente en ese banco junto con su madre y hermanos

Así pues, según el parecer del usuario, el banco vulneró la normativa de protección de datos al facilitar a su expareja un documento que contenía información sensible y confidencial de cuentas y posiciones bancarias del primero.

Interior de una oficina de Bankinter. (Foto: Bankinter)

Tras dar traslado de la reclamación a Bankinter, la reclamada puso de manifiesto que el acceso por parte de la expareja al Informe Mensual de Cartera de Inversiones se debió a un error informático puntual, que no se había producido con anterioridad ni se ha reiterado hasta esa fecha y que se solucionó en cuanto tuvieron conocimiento.

Además, como es lógico, el banco pidió disculpas por lo acontecido y, con el objetivo de evitar que se produzcan situaciones similares en el futuro, Bankinter anunció que se revisaron nuevamente todas las medidas técnicas implementadas para asegurarse de que no se volviese a producir una incidencia como esta.

Bankinter asume el error y paga 56.000 euros

Una vez admitida a trámite la reclamación presentada por el afectado y tras acordarse el inicio del procedimiento sancionador, la AEPD reconoce que, en el presente caso, “consta una brecha de seguridad en los sistemas del reclamado, categorizada como una brecha de confidencialidad”, que se habría traducido en la puesta a disposición de un tercero no autorizado de un informe que contenía datos del reclamante y de algunos de sus familiares “sobre la visión global de la evolución de su patrimonio, rentabilidad y riesgo de la cartera, gráficos de distribución de activos por riesgo, divisas y zonas geográficas, composición de la cartera y movimientos de sus inversiones”.

Según el banco, el acceso al Informe se debió a un error informático puntual que afectó a la herramienta informática que restringía y bloqueaba el acceso a terceros

En cuanto al argumento de que ha sido un error informático aislado que afectó a los datos personales de un número muy reducido de personas, la Agencia reconoce que tal extremo “no es causa de justificación o exculpación suficiente, toda vez que los afectados se han visto desprovistos del control sobre sus datos personales”.

Dicho esto, la institución dirigida por Mar España Martí estima que la documentación obrante en el expediente “ofrece indicios evidentes” de que el reclamado vulneró el art. 5.1 f) del RGPD.

En la misma línea, a efectos de decidir sobre la imposición de una multa administrativa y su cuantía, la Agencia ha tenido en cuenta, como circunstancia agravante, la vinculación de la actividad del infractor con la realización de tratamientos de datos personales. En particular, el organismo público recuerda que la actividad de Bankinter “exige un continuo tratamiento de datos de carácter personal tanto de clientes como de terceros”.

Así las cosas, sin perjuicio de lo que se acordase en la fase de instrucción, la Agencia fijó inicialmente la multa a imponer en la cifra de 70.000 euros. Sin embargo, a finales del mes del pasado mes de mayo, Bankinter procedió a pagar la sanción en la cuantía de 56.000 euros, haciendo uso de la reducción referida al pago voluntario de la multa propuesta.