BBVA tem abonado uma multa de 48.000 euros à Agência de Protecção de Dados após que um utente do banco recebesse "por erro" um documento com dados de terceiros, segundo se explica na resolução da entidade.
Os factos ocorreram em outubro de 2021, quando um utente solicitou ao banco um certificado de titularidade de sua conta através da app de BBVA . No entanto, recebeu uma cópia de um contrato de terceiras pessoas. O cliente comunicou a incidência e sua preocupação pela protecção de dados, ao que o banco respondeu com uma desculpa, afirmando que se tratava de um "erro operacional".
BBVA defende que se trata de um facto isolado
Não obstante, o utente continuou as comunicações com o banco para assinalar que seguia tendo acesso ao documento, ao estar disponível através do chat de contacto. O banco, por sua vez, indicou ao reclamante que não era possível eliminar dito documento da conversa.
Posteriormente, o cliente interpôs denúncia ante a Agência Espanhola de Protecção de Dados contra BBVA. O banco explicou à agência que sua ferramenta para pôr em contacto a clientes e gestores ('Minhas Conversas') é um canal "seguro", num meio "logado" e que proporciona o acesso ao histórico das conversas, com a finalidade de "garantir a transparência e traçabilidade". No escrito remetido à agência, o banco reitera suas desculpas e reconhece que se "cometeu um erro pontual e humano" ao anexar o contrato com dados de terceiros, além de tratar de "um facto isolado, não se tendo constancia de outras reclamações por parte das pessoas afectadas".
Dados "indevidamente expostos"
Ademais, BBVA disse então que, ao tirar o enlace, tinha eliminado o acesso por parte do cliente do arquivo do contrato, apesar de que a conversa permanecia. Apesar desta defesa, a Agência de Protecção de Dados aceitou a trâmite a reclamação e abriu um procedimento sancionador contra BBVA ao tratar de uma "brecha de segurança". Concretamente, considerou que os dados pessoais de um cliente de BBVA existentes em seu banco# de dados "foram indevidamente expostos à parte reclamante".
Ademais, indica que, no momento de se produzir esta brecha, BBVA não contava com medidas adequadas, técnicas e organizativas para impedir o envio de um enlace que dava acesso ao contrato de um terceiro, pelo que os dados pessoais de um cliente ficaram expostos desde outubro de 2021 até fevereiro de 2022. Como agravante, Protecção de Dados assinala, por um lado, que a actividade financeira de BBVA e o elevado número de clientes com o que conta implica o manejo de "um grande número de dados pessoais", o que implica que tem "experiência suficiente e deveria contar com o adequado conhecimento para o tratamento de ditos dados".
Rebaja da sanção
Por todo isso, a Agência propôs uma sanção administrativa de 50.000 euros por infracção do artigo 5.1.f) do Regulamento Geral de Protecção de Dados (RGPD), e outra multa administrativa de 30.000 euros por uma infracção do artigo 32 do RGPD, qualificada no artigo 83.4.
Em seu escrito, Protecção de Dados recorda a possibilidade de que o banco reconheça sua responsabilidade dentro de um prazo de dez dias, o que implicaria aparejada uma redução do 20 % da sanção. Ademais, também reconhece a possibilidade de que o banco faça o pagamento voluntário da sanção, o que implicaria outra redução de 20%, reduzindo o custo da sanção a 48.000 euros. Assim, BBVA pagou os 48.000 euros em setembro de 2022, pelo que reconhecia sua responsabilidade.