La autoridad de control ha impuesto una sanción de 200.000 euros a BBVA por infringir el artículo 6.1 (licitud del tratamiento) del RGPD. No obstante, dicha sanción se ha reducido a 120.000 euros por cuanto la entidad ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
El reclamante, cliente de la entidad, expuso que, al solicitar determinada información a la compañía, pudo comprobar que el documento titulado «Política de Protección de Datos Personales y Declaración de Actividad Económica» constaba firmado por él (así como por su mujer) sin que reconociera dicha firma manuscrita.
Al conocer estos hechos, alegó que la compañía había firmado el documento haciéndose pasar por él y por su mujer, sin su consentimiento. Es por ello por lo que acudió a una de las oficinas, poniendo de manifiesto estos hechos. No obstante, en dicha oficina le indicaron que, si bien el procedimiento elaborado por BBVA exigía contactar con el cliente para que este acudiese a la oficina y firmase la documentación, esta se firmó por un gestor, siendo “algo que suelen hacer con normalidad para agilizar los trámites”.
En dicho documento, adicionalmente, constaban marcadas las casillas relativas al consentimiento para el envío de publicidad por parte de la compañía y por empresas colaboradoras, así como para la realización de perfiles.
Admitida a trámite la reclamación, BBVA presentó escrito de alegaciones en el que ponía de manifiesto, entre otras cuestiones, que existe un procedimiento para la firma de este tipo de documentos, sin que se puedan firmar de forma manuscrita, sino a través de una Tablet, la app de la entidad o el teléfono móvil; que hay multitud de otros documentos formalizados por el cliente que permiten acreditar que BBVA ha actuado, salvo en el caso que nos ocupa, con la máxima diligencia o que se habían tomado las medidas necesarias para evitar que esta problemática volviera a suceder.
Así, la compañía indica que, en virtud de las actuaciones de investigación efectuadas por el departamento de auditoría interna de la entidad, se concluyó que el gestor de la oficina no cumplió el procedimiento de firma pesar de haber sido informado de ello.
La AEPD declara que, a la vista de lo afirmado por la entidad respecto a que el gestor no cumplió con el procedimiento, parece advertirse que reconoce la ausencia de base de legitimación para el tratamiento de los datos personales. Así, se afirma que se produjo dicho tratamiento sin base legitimadora alguna al relacionar “datos personales correctos de la parte reclamante con una firma que no es la suya; así mismo, se encontraban marcadas las casillas del consentimiento para el tratamiento de sus datos personales con fines comerciales […] así como para la elaboración de perfiles”. La autoridad de control tiene en cuenta, como circunstancia agravante, el hecho de que se ha producido una suplantación de la identidad del reclamante.
La importancia de esta resolución radica en la necesidad de que los responsables del tratamiento faciliten instrucciones precisas a sus empleados e implementen controles para verificar su operativa diaria, por cuanto, en caso contrario, las actuaciones erróneas de estos pueden repercutir negativamente en la entidad.
Puede acceder a la resolución sancionadora aquí.