La Agencia Española de Protección de Datos ha confirmado la mayor multa cursada a una empresa en su historia. Se trata de dos sanciones por un valor total de cinco millones de euros al banco BBVA por vulnerar leyes normas fundamentales incluidas en la Ley de Protección de Datos (LOPDGDD).
Hasta el momento la sanción más importante que había puesto la Agencia era la que impuso a Facebook en el 2017 por 1,2 millones de euros al constatar que la red social recopilaba, almacenaba y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento.
En el caso del BBVA, en la sentencia de más de 120 páginas a la que ha tenido acceso Invertia, se incluyen cinco denuncias que apuntan a dos problemas principales: la vulneración de los datos personas enviando comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar que datos ceden -o no- al banco.
De esta manera, la primera sanción se impone al constatar una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. En este caso, se establece una multa por importe de dos millones de euros.
La segunda infracción se impone por vulnerar el artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD. Se establece una multa por importe de tres millones de euros en este caso.
Cambio de condiciones
En tercer lugar -y esto es quizás el punto más importante de la sentencia- la Agencia requiere al BBVA para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales. Es decir, le pide que modifique radicalmente la política y el sistema de tratamiento de datos de sus clientes.
En el plazo indicado, BBVA deberá justificar ante esta Agencia Española de Protección de Datos la atención del requerimiento. En el caso de este fallo, se considera en el sector que es ejemplarizador porque cuestiona y penaliza buena parte de las prácticas comerciales y de consentimiento de datos que utilizan buen parte de las empresas de sectores como banca, seguros, telecomunicaciones y tiendas de distribución y restauración.
De hecho, las prácticas cuestionadas al banco bilbaíno incluyen un buen puñado de vulneraciones a los preceptos básicos de la Ley de Protección de Datos.
Según consta en el fallo al que ha tenido acceso este diario, el primer denunciante (de los cinco que presentaron sus quejas ante la Agencia de Protección de Datos) advierte del envío a su línea de telefonía móvil, en octubre de 2018, de un SMS promocional. El afectado añade que no autorizó el envío de tales mensajes y que figura inscrito en Lista Robinson (que evita en envío de comunicaciones comerciales) desde hace tiempo.
La segunda reclamación advierte que la App BBVA para sistemas Android de la entidad no cumplía los requisitos legales relativos al consentimiento libre e informado. En dicha reclamación se puso de manifiesto que el pasado noviembre de 2018 la citada App, mediante una pantalla emergente, requirió la prestación de consentimiento cuyo alcance debía conocerse mediante un enlace a otra página, en la que aparecía activada por defecto la opción de cesión de datos a terceros.
Denuncias
La tercera denuncia (febrero de 2019) señaló que para el desbloqueo de la cuenta del afectado fue necesario suscribir el documento de protección de datos personales, que le fue remitido telemáticamente, y que no tuvo posibilidad de marcar las opciones sobre el tratamiento de la información.
En la cuarta denuncia (de mayo de 2019) se indica que con el pretexto de haber sido informado mediante un documento "que no ha firmado", el BBVA le remite al denunciante comunicaciones comerciales "que no ha solicitado ni autorizado". Añade que se le informó sobre la adopción de medidas para impedir que continuara recibiendo comunicaciones comerciales, que cesaron los envíos de correos electrónicos, pero "continuó recibiendo SMS," en los que no se facilitan mecanismos de baja".
Finalmente, en la quinta reclamación (agosto de 2019) se advierte de la realización de llamadas telefónicas y envío de SMS publicitarios, para ofrecer seguros, tarjetas de crédito y financiación de recibos, a pesar de que ejerció el derecho de oposición a la cesión de sus datos con fines promocionales y que el mismo fue atendido por dicha entidad.
El BBVA puede interponer recurso de reposición ante la AEPD y acudir a la Audiencia Nacional en vía contenciosa y recurrir esta sanción.