El BBVA es sancionado por no garantizar la seguridad de los datos personales
- Normativa
La Agencia Española de Protección de Datos le impuso una multa de 200.000 euros al apreciar una infracción del artículo 32 del RGPD, que contempla la seguridad en el tratamiento de datos. BBVA ha procedido al pago voluntario de 120.000 euros, beneficiándose de las reducciones previstas.
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer |
Una infracción del Reglamento General del Protección de Datos (RGPD) le ha supuesto al BBVA el pago de una multa impuesta por la Agencia Española de Protección de Datos (AEPD).
Los hechos se remontan a marzo de 2020 cuando un cliente del BBVA interpuso una reclamación ante la agencia tras comprobar que el sistema de atención telefónica automatizado tan solo le pidió como dato identificativo el DNI. El reclamante aseguraba que el BBVA no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquiera puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento.
A finales de julio de 2021, la AEPD acordó iniciar el procedimiento sancionar al apreciar una posible infracción del RGPD que contempla, en su artículo 32, la seguridad en el tratamiento. Si bien el artículo no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sí establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento.
La AEPD ha considera como agravantes el elevado número de clientes de la entidad y que es una entidad solvente que dispone de medios técnicos para tomar medidas de seguridad adecuadas, de modo que su carencia supone negligencia en sus acciones. También tiene en cuenta el alto grado de responsabilidad de la parte reclamada, puesto que tratando diariamente datos personales de sus clientes es plenamente consciente de la necesidad de implantar medidas de seguridad adecuadas al riesgo en todos los tratamientos que efectúe.
La agencia acordó imponer, en base a la infracción cometida, una sanción de 200.000 euros. El BBVA procedió al pago voluntario de la sanción en la cuantía de 120.000 euros, beneficiándose de las reducciones previstas, lo que implica el reconocimiento de la responsabilidad y la renuncia a cualquier acción o recurso en vía administrativa.