La Agencia Española de Protección de Datos ha confirmado la mayor multa cursada a una empresa en su historia. Se trata de dos sanciones por un valor total de cinco millones de euros al banco BBVA por vulnerar leyes normas fundamentales incluidas en la Ley de Protección de Datos (LOPDGDD). 

Hasta el momento la sanción más importante que había puesto la Agencia era la que impuso a Facebook en el 2017 por 1,2 millones de euros al constatar que la red social recopilaba, almacenaba y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento.

En el caso del BBVA, en la sentencia de más de 120 páginas a la que ha tenido acceso Invertia, se incluyen cinco denuncias que apuntan a dos problemas principales: la vulneración de los datos personas enviando comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar que datos ceden -o no- al banco.

De esta manera, la primera sanción se impone al constatar una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. En este caso, se establece una multa por importe de dos millones de euros.

La segunda infracción se impone por vulnerar el artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD. Se establece una multa por importe de tres millones de euros en este caso.

Cambio de condiciones

En tercer lugar -y esto es quizás el punto más importante de la sentencia- la Agencia requiere al BBVA para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales. Es decir, le pide que modifique radicalmente la política y el sistema de tratamiento de datos de sus clientes.

En el plazo indicado, BBVA deberá justificar ante esta Agencia Española de Protección de Datos la atención del requerimiento. En el caso de este fallo, se considera en el sector que es ejemplarizador porque cuestiona y penaliza buena parte de las prácticas comerciales y de consentimiento de datos que utilizan buen parte de las empresas de sectores como banca, seguros, telecomunicaciones y tiendas de distribución y restauración.

De hecho, las prácticas cuestionadas al banco bilbaíno incluyen un buen puñado de vulneraciones a los preceptos básicos de la Ley de Protección de Datos.

Fuente: Invertia