02 noviembre 2022
70.000 euros de multa a un banco por dar la dirección personal de un abogado a una cliente
La Agencia Española de Protección de Datos (AEPD) ha multado con 70.000 euros al BBVA por facilitar a una clienta la dirección personal de un abogado, también cliente de la entidad.
“La entidad no ha adoptado de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos de sus clientes”, dice la Agencia en una reciente resolución.
“Especialmente”, explica la resolución de la AEPD, “las dirigidas a impedir el acceso a la información por terceros no autorizados, como de hecho ocurrió cuando la propia entidad reclamada facilitó al cliente de la parte reclamante el documento de acuse de recibo de la reclamación formulada, dirigido a la parte reclamante y a su domicilio personal”.
En noviembre de 2020 el abogado presentó en nombre de dicha clienta una reclamación ante la entidad bancaria. Una semana después, BBVA entregó a la usuaria un escrito relativo a esta reclamación. En el documento, sin embargo, constaba la dirección particular del letrado en lugar de la del despacho profesional.
El letrado aportó como prueba la reclamación que puso en nombre de la usuaria y en la que no se indicaba ninguna dirección de contacto, así como el escrito de respuesta de BBVA en el que aparecía su dirección personal.
BBVA alegó entonces que se había tratado de un “error involuntario”, ya que el director de la oficina desconocía que se trataba de la dirección particular del abogado.
La AEPD, sin embargo, ha dictaminado que la entidad no explicó en que consistió el error y que, aún así, “no puede admitirse que la actuación de la entidad derive de un error”, ya que pasarlo por alto “sería ignorar la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos”, agrega la resolución.
El importe de la multa se ha calculado de la siguiente forma: 25.000 euros por la infracción del artículo 5.1.b del RGPD, 20.000 euros por la infracción de su artículo 32 y 25.000 euros por la infracción del artículo 5.1.f , que establecen que “los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad”, agrega.