La Agencia de Protección de Datos impone una histórica multa de cinco millones a BBVA por vulnerar la ley

La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas históricas al BBVA por vulnerar la ley con envíos de mensajes comerciales a clientes que habían solicitado no recibirlos. El montante global de las dos multas suma cinco millones de euros, cantidad que no había alcanzado hasta ahora ninguna sanción de esta agencia. El banco que preside Carlos Torres -inmerso también en una investigación judicial por contratar al polémico ex comisario José Manuel Villarejo- asegura que actuó correctamente y anuncia que recurrirá la sanción.

De acuerdo con la resolución de la Agencia, que dirige Mar España Martí, el banco cometió una infracción muy grave al infringir el artículo 6 del Reglamento General de Protección de Datos (RGPD), que se refiere a la licitud del tratamiento de los datos personales de los clientes por parte de las empresas. La cuantía de la multa impuesta por saltarse este artículo es de tres millones de euros.

Además, la Agencia impone una segunda multa, considerada de carácter leve, por infringir los artículos 13 y 14 del citado Reglamento, que se refiere al tipo de información que hay que proporcionar al cliente sobre cómo se han obtenido sus datos. Por este concepto el banco es castigado a pagar otros dos millones de euros. En conjunto, el banco tiene que afrontar una multa de cinco millones de euros, la más alta de la historia impuesta por esta Agencia.

El banco defiende su actuación y anuncia que recurrirá la sanción impuesta por la Agencia de Protección de Datos

La Agencia requiere también al BBVA «para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales».

Por su parte, el BBVA ha señalado a este diario que actuó de forma correcta y conforme a la ley con todos los clientes que han denunciado el tratamiento ilegal de sus datos y ha anunciado también que recurrirá la histórica multa impuesta por la Agencia española -tiene un mes de plazo para hacerlo-.

Envíos de publicidad a los clientes

La sanción parte de varias denuncias presentadas ante la Agencia por diferentes clientes del banco que recibieron mensajes comerciales en sus dispositivos privados, como móviles o correos electrónicos. Uno de ellos señala que recibió un SMS en su móvil con una promoción del banco pese a que no había autorizado semejantes envíos al estar inscrito en la Lista Robinson desde hacía tiempo.

«Publi BBVA: Tu préstamos HASTA 9.000 EUROS para poner en marcha ya tus proyectos. Info 912975969. https://bbva.info/2xLgPps. No+publi envia BAJA al 217582», decía el mensaje. El banco defiende en cambio que el cliente accedió al envío de esos mensajes promocionales y aporta el contrato firmado por el cliente.

Otro consumidor denuncia a la Agencia que recibió del banco un mensaje «señalando que para el desbloqueo de su cuenta fue necesario suscribir el documento de protección de datos personales, que le fue remitido telemáticamente, y que no tuvo posibilidad de marcar las opciones sobre el tratamiento de la información». En este caso, la Agencia subraya que, trasladado el expediente al BBVA, el banco no comunicó ninguna respuesta en el plazo establecido para ello.

La queja de los clientes se centra en el envío masivo de mensajes promocionales a su teléfono móvil pese a que se habían registrado tiempo antes en la Lista Robinson

En el caso de otro cliente, el banco fue acusado de envíos masivos de mensajes promocionales a su teléfono móvil con préstamos preconcedidos pese a que no había dado autorización para ello. Aporta, como en casos anteriores, los SMS recibidos en su dispositivo personal. Preguntado el banco sobre este caso por parte de la Agencia, la entidad vasca señaló en un primer lugar que el cliente no había firmado la negativa a recibir estos mensajes y que su móvil no figuraba entre los datos de contacto del cliente. Finalmente, contestó que los mensajes «se enviaron manualmente por un gestor comercial desde el teléfono móvil corporativo sin comprobar previamente que el cliente estaba incluido en el listado Robinson», según recoge el informe de la Agencia, de más de 120 páginas.

Ante esta situación, la Agencia considera que el banco ha infringido los artículos 6 y 13 del Reglamento General de Protección de Datos. En concreto, respecto al artículo 13, la Agencia le acusa de «empleo de una terminología imprecisa para definir la política de privacidad»; «insuficiente información sobre la categoría de datos personales que se someterán a tratamiento»;  «incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima»; y de «insuficiente información sobre sobre el tipo de perfiles que se van a realizar, y los usos específicos a que se van a destinar».

Respecto al artículo 6, la agencia advierte de «inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales»; «incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado»; e «insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del responsable».