La Agencia Española de Protección de Datos impuso esta semana la mayor multa cursada a una empresa en su historia. Dos sanciones por un valor total de cinco millones de euros al banco BBVA por vulnerar leyes normas fundamentales incluidas en la ley de protección de datos (LOPDGDD).
En la sentencia de más de 120 páginas a la que ha tenido acceso Invertia, se incluyen cinco denuncias que apuntan a dos problemas principales: la vulneración de los datos personas enviando comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar que datos ceden -o no- al banco.
No obstante, y pese a la contundencia del fallo, BBVA considera que su actuación "ha sido correcta". De hecho, fuentes oficiales del banco han indicado a Invertia que se "recurrirá la sanción". La entidad puede interponer recurso de reposición ante la AEPD y acudir a la Audiencia Nacional en vía contenciosa y recurrir esta sanción.
En cualquier caso y analizando en profundidad el fallo, no parece que el recurso del BBVA tenga demasiado recorrido. La Agencia de Protección de Datos ha determinado que el banco ha vulnerado aspectos esenciales de la ley de protección de datos y que al menos en cinco ocasiones (con sus respectivas denuncias en firme) ha incumplido la normativa.
La primera sanción (dos millones de euros) se impuso al constatar una infracción de los artículos 13 y 14 del RGPD. En este caso, se considera que el banco no ha aportado la información suficiente a los afectados respecto de su consentimiento -o no- en el tratamiento de sus datos.
Cambio en el tratamiento de datos
La segunda infracción (tres millones de euros) se impone por vulnerar el artículo 6 del RGPD. En este punto, la Agencia establece que el tratamiento de los datos de sus clientes no ha cumplido todos los requisitos para ser "lícito".
El organismo cuestiona completamente y pide un cambio radical en la política de tratamiento de datos del banco. Le pide que en un plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
De esta manera, el fallo parte de la base que BBVA no cumple con prácticamente ninguna de las normativas básicas de protección de datos y que, en consecuencia, deben modificarla totalmente para ajustarla a la legalidad.
Para que nos hagamos una idea de la magnitud de esta multa, la Agencia suele poner multas de no más de 100.000 euros. La única que hasta el momento había sido superior en un millón fue la de Facebook en el 2017 por 1,2 millones de euros.
Se estimó en este caso que la red social recopilaba, almacenaba y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento.