La AEPD ha impuesto una multa de 5 millones de euros al BBVA, la más alta hasta la fecha en España por infracciones relacionadas con la protección de datos personales.

El caso contra el BBVA partió de las denuncias separadas de 5 clientes que manifestaban diversas irregularidades por parte del banco en el tratamiento de sus datos personales.

Estas denuncias planteaban hechos como el envío de SMS comerciales a pesar de haber manifestado la oposición, el uso de casillas premarcadas que suponían la concesión del consentimiento por omisión o por inacción (sin acción afirmativa) y la falta de transparencia en cuanto a la finalidad para la que se recogían los datos.

La AEPD aceptó a trámite las denuncias y dio comienzo a una investigación en la que la máxima autoridad española de protección de datos observó las siguientes infracciones:

Infracción del artículo 13 y 14 del RGPD

  • Empleo de una terminología imprecisa y de formulaciones vagas para definir la política de privacidad. Por ejemplo, refiriéndose a la finalidad del tratamiento de datos personales se emplean frases como: “Conocerte mejor y mejorar tu experiencia”;  “Ofrecerte productos y servicios… personalizados para ti”; “Mejorar la calidad de los productos y servicios”.
  • Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento.
  • Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima.
  • Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.

Infracción del artículo 6 del RGPD

  • Inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales.
  • Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado.
  • Insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del responsable.

La investigación de la AEPD también tuvo en cuenta las siguientes circunstancias que la AEPD relativas al caso:

  • la utilización de datos personales recabados de terceros sin el conocimiento del interesado como los ficheros de solvencia y créditos
  • la falta de transparencia sobre las técnicas algorítmicas que elaboran perfiles de usuarios
  • El elevado número de afectados al ser el BBVA uno de los mayores bancos del país.
  • La posición dominante del BBVA como gran empresa frente a los interesados

La AEPD considera, por tanto, acreditado el incumplimiento del principio de transparencia recogido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud de tratamiento recogido en el artículo 6. Estas infracciones son sancionables según el artículo 83.5 del RGPD.

Sanciones récord de 2 y 3 millones de euros

La infracción de los artículos 13 y 14 se considera leve en base al artículo 74 y conlleva una multa de 2 millones de euros.

La infracción del artículo 6 del RGPD se considera muy grave en base al artículo 72.1.b de la LOPDGDD y conlleva un multa de 3 millones de euros.

Además, la AEPD acuerda también la imposición a la entidad BBVA de la obligación de adoptar las medidas necesarias para adecuar a la normativa de protección de datos personales las operaciones de tratamiento que realiza en un plazo de seis meses.

El BBVA podrá presentar un recurso ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional en el plazo de un mes.