La Agencia Española de Protección de Datos ha sancionado con 200.000 euros al BBVA por la infracción del artículo 5.1 d) del Reglamento General de Protección de Datos. En la reclamación presentada, la parte reclamante manifestó no haber tenido conocimiento de la inclusión de sus datos personales en el fichero de solvencia patrimonial de Asnef, lo que le impidió acceder “a la contratación de préstamos en entidades financieras, así como formalizar la contratación de determinados servicios como cambio de compañía telefónica y de luz, por constar sus datos en el citado fichero”.
La empresa externa encargada del fichero, ASNEF-EQUIFAX, incluyó los datos del reclamante a instancia del BBVA por “una deuda derivada de una tarjeta de crédito contratada con esa entidad”. Aunque dicha empresa practicó notificación al cliente, el intento resultó ser infructuoso por constar “señas Incorrectas”. Al recibir la devolución de la notificación, envió una solicitud de confirmación al BBVA, “para que revise la dirección de envío de la notificación y proceda a la baja del dato si es errónea o la confirme como correcta”. El BBVA aseguró la exactitud de los datos transmitidos, si bien la dirección correcta que obraba en la base de datos de la entidad era distinta.
Así las cosas, la AEPD apreció la vulneración del artículo 5.1 d) del RGPD, “que exige que los datos personales recogidos sean exactos y, si fuera necesario, actualizados: de manera que han de adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación”; de esta manera, considera que “al no facilitarse la dirección exacta de la parte reclamante por la reclamada, se ha causado un grave perjuicio a la parte reclamante, ya que no pudo tener conocimiento de su inclusión en ficheros de solvencia”.
En adición, la AEPD estima la existencia de tres agravantes en el caso, como son: la naturaleza y la gravedad de la infracción, “la notoria negligencia apreciada en la comisión de la infracción”, y “la alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales, considerando el nivel de implantación de la entidad y la actividad que desarrolla, en la que se ven implicados datos personales de millones de clientes”. Por lo que respecta a este último agravante, matiza que dicha circunstancia “determina un mayor grado de exigencia y profesionalidad y, consiguientemente, de responsabilidad de la entidad reclamada en relación con el tratamiento de los datos”.
Por consiguiente, la AEPD, en la resolución PS-00088-2024 del procedimiento sancionador considera la existencia de la infracción mencionada. Se acordó imponer una multa total de 200.000 € al BBVA, la cual se redujo a 120.000 € por pago voluntario de la deuda y el reconocimiento de la responsabilidad.
En definitiva, quienes hagan un tratamiento de datos personales sin garantizar unas medidas de seguridad idóneas, que permitan la actualización y/o supresión de datos personales inexactos; deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando con carácter previo al tratamiento los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en asesoramiento y consultoría para el cumplimiento de la normativa de protección de datos.