Loading...

Multan al BBVA por una "brecha de seguridad" que reveló datos personales a un tercero

Según la AEPD, el banco tiene la "experiencia suficiente y debería contar con el adecuado conocimiento" para el tratamiento de dicha información

Consumidor Global

Un edificio del banco BBVA / EUROPA PRESS - BBVA

BBVA ha abonado una multa de 48.000 euros a la Agencia de Protección de Datos después de que un usuario del banco recibiese "por error" un documento con datos de terceros, según se explica en la resolución de la entidad.

Los hechos ocurrieron en octubre de 2021, cuando un usuario solicitó al banco un certificado de titularidad de su cuenta a través de la app de BBVA. Sin embargo, recibió una copia de un contrato de terceras personas. El cliente comunicó la incidencia y su preocupación por la protección de datos, a lo que el banco respondió con una disculpa, afirmando que se trataba de un "error operacional".

BBVA defiende que se trata de un hecho aislado

No obstante, el usuario continuó las comunicaciones con el banco para señalar que seguía teniendo acceso al documento, al estar disponible a través del chat de contacto. El banco, por su parte, indicó al reclamante que no era posible eliminar dicho documento de la conversación.

Posteriormente, el cliente interpuso denuncia ante la Agencia Española de Protección de Datos contra BBVA. El banco explicó a la agencia que su herramienta para poner en contacto a clientes y gestores ('Mis Conversaciones') es un canal "seguro", en un entorno "logado" y que proporciona el acceso al histórico de las conversaciones, con la finalidad de "garantizar la transparencia y trazabilidad". En el escrito remitido a la agencia, el banco reitera sus disculpas y reconoce que se "cometió un error puntual y humano" al adjuntar el contrato con datos de terceros, además de tratarse de  "un hecho aislado, no teniéndose constancia de otras reclamaciones por parte de las personas afectadas".

La sede de BBVA en Madrid / EP

Datos "indebidamente expuestos"

Además, BBVA dijo entonces que, al quitar el enlace, había eliminado el acceso por parte del cliente del archivo del contrato, a pesar de que la conversación permanecía. A pesar de esta defensa, la Agencia de Protección de Datos aceptó a trámite la reclamación y abrió un procedimiento sancionador contra BBVA al tratarse de una "brecha de seguridad". Concretamente, consideró que los datos personales de un cliente de BBVA obrantes en su base de datos "fueron indebidamente expuestos a la parte reclamante".

Además, indica que, en el momento de producirse esta brecha, BBVA no contaba con medidas adecuadas, técnicas y organizativas para impedir el envío de un enlace que daba acceso al contrato de un tercero, por lo que los datos personales de un cliente quedaron expuestos desde octubre de 2021 hasta febrero de 2022. Como agravante, Protección de Datos señala, por un lado, que la actividad financiera de BBVA y el elevado número de clientes con el que cuenta conlleva el manejo de "un gran número de datos personales", lo que implica que tiene "experiencia suficiente y debería contar con el adecuado conocimiento para el tratamiento de dichos datos".

Una persona consulta unos datos en el ordenador / PEXELS

Rebaja de la sanción

Por todo ello, la Agencia propuso una sanción administrativa de 50.000 euros por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), y otra multa administrativa de 30.000 euros por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4.

En su escrito, Protección de Datos recuerda la posibilidad de que el banco reconozca su responsabilidad dentro de un plazo de diez días, lo que conllevaría aparejada una reducción del 20 % de la sanción. Además, también reconoce la posibilidad de que el banco haga el pago voluntario de la sanción, lo que implicaría otra reducción del 20%, reduciendo el importe de la sanción a 48.000 euros. Así, BBVA pagó los 48.000 euros en septiembre de 2022, por lo que reconocía su responsabilidad.