Ibercaja, sancionada con 70.000 euros por facilitar la dirección del domicilio de un cliente en el justificante de una transferencia
El banco no garantizó la confidencialidad de los datos personales al aparecer en el documento la calle, número, piso, letra, código postal y ciudad del domicilio postal
(Imagen: RTVE)
Ibercaja, sancionada con 70.000 euros por facilitar la dirección del domicilio de un cliente en el justificante de una transferencia
El banco no garantizó la confidencialidad de los datos personales al aparecer en el documento la calle, número, piso, letra, código postal y ciudad del domicilio postal
(Imagen: RTVE)
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Ibercaja Banco con 70.000 euros por haber realizado un tratamiento ilícito de los datos de carácter personal de un cliente. La entidad bancaria no garantizó la confidencialidad de dichos datos al haber facilitado al beneficiario de una transferencia que realizó el cliente, la dirección postal completa de este último en el justificante de la transferencia.
La resolución sancionadora (disponible en el botón ‘descargar resolución’) llega a raíz de que se interpusiera una reclamación ante la AEPD. En dicha reclamación el reclamante ponía en conocimiento de dicha Autoridad que, en mayo de 2023 realizó una transferencia desde la banca digital que tiene con la entidad bancaria Ibercaja a favor de un cliente de otra entidad. Posteriormente, la persona que recibió la transferencia (el beneficiario) le envió un justificante para que supiera que la transferencia había llegado de forma correcta y en dicho justificante aparecían los datos de su domicilio particular.
Junto al escrito el reclamante aportó copia del justificante bancario en el que constaba bajo el concepto de transferencia a su favor: el importe de dicha transferencia junto con la fecha y hora, fecha valor, número de cuenta, nombre y apellidos del remitente (parte reclamante), concepto de la transferencia, beneficiario (nombre y primer apellido) y un apartado denominado «Ampliación remitente de la transferencia», en el que figura el domicilio postal de la parte reclamante (calle, número, piso, letra, código postal y ciudad).
(Imagen: Ibercaja Banco)
El banco no garantizó la confidencialidad de los datos
Tras tener conocimiento de los hechos, la AEPD inició un procedimiento sancionador contra Ibercaja.
Según explica la Agencia en la resolución, los datos del domicilio postal de una persona, así como cualquier otra información que se encuentre referida a personas físicas, tienen la consideración de dato de carácter personal, y en consecuencia su tratamiento está sujeto a la normativa de protección de datos.
Ibercaja realiza un tratamiento de datos al recoger, registrar, conservar, modificar, consultar, utilizar y comunicar por transmisión datos personales de personas física, como por ejemplo, el IBAN de la cuenta del ordenante, nombre y dirección del ordenante, así como el IVAN de la cuenta del beneficiario y el nombre de este último. Por tanto, Ibercaja realiza esta actividad en su condición de responsable del tratamiento, ya que es quien determina los fines y medios de tal actividad en virtud del artículo 4.7 del Reglamento General de Protección de Datos.
Sin embargo, al haber facilitado el domicilio postal del cliente al beneficiario en el justificante de la transferencia, “la entidad bancaria vulneró el artículo 5.1. f) del RGPD, principios relativos al tratamiento, al no haber garantizado debidamente la confidencialidad de los datos de carácter personal”, señala la AEPD, pues el deber de confidencialidad “debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos”.
Y ello teniendo en cuenta de que no consta que la parte reclamante (el cliente) hubiese facilitado su dirección al ordenar la transferencia a través de Ibercaja. Además de que la entidad bancaria no exige que sus clientes cumplimenten su dato personal relativo a la dirección postal de sus domicilios cuando realizan transferencias.
Por tanto, Ibercaja no debió incluir esa información, ya que “la dirección del ordenante solo es obligatoria cuando el PSP SEPA del ordenante o el beneficiario esté localizado en un país o territorio fuera del EEE (Espacio Económico Europeo), que no es el caso. Es decir, la normativa no prevé, para este tipo de transferencias, que se incluya ninguna dirección. No obstante, la dirección particular del reclamante ha quedado indebidamente expuesta”, afirma la AEPD.
En consecuencia, la actuación de Ibercaja supuso una infracción por vulneración del artículo 5.1. f) del RGPD y, por ende, la Agencia Española de Protección de Datos ha sancionado a la entidad bancaria con una multa administrativa de 70.000 euros.
