Blog

Protección de Datos

Sanciones Protección de Datos: Bankia

10 septiembre, 2020

LA IMPORTANCIA DE CUMPLIR CON EL PRINCIPIO DE LIMITACIÓN DE LOS DATOS: SANCIÓN A BANKIA

El pasado 28 de agosto, la AEPD impone una sanción a Bankia de 40.000 euros por mantener los datos de un antiguo cliente durante 16 años incumpliendo con el artículo 5.1.b. del RGPD.

El proceso sancionador PS/00076/2020, empieza el 8 de junio del 2020 en base a una reclamación recibida por un excliente de la entidad bancaria citada.

Los hechos son los siguientes:

El reclamante manifiesta que hace más de 16 años dejó de ser cliente de Caja Madrid, Bankia.

Por motivos personales acudió a una oficina de BANKIA para realizar una gestión de un tema de herencia, al hacerse cliente nuevamente, le comunicaron que sus datos figuraban en el sistema, con una dirección del año 2002 y un número de cliente.

Dado que en la oficina no supieron explicarle por qué todavía conservaban sus datos personales, fue cuando el actor presentó una reclamación ante la AEPD.

Bankia alegó no infringir la normativa de protección de datos personales, ya que los datos del reclamante se encontraban bloqueados conforme a lo dispuesto en el artículo 32 de la LOPDGDD, el cual establece que:

“1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.

  1. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
  2. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
  3. Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
  4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.”

En este sentido, el razonamiento de la agencia es que, los datos bloqueados no pueden estar accesibles a los trabajadores de las oficinas de las entidades financieras, y sin embargo así ha sido en este caso, tal y como ha quedado constatado.

La AEPD estima que Bankia no cumplió lo dispuesto en el citado artículo 32 de la LOPDGDD. Cuando se habla de datos bloqueados, se debe entender que sólo pueden estar accesibles a jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos.

También se considera probado que la entidad reclamada conservaba en sus registros los datos personales del reclamado, pese a haber transcurrido 16 años desde su última relación comercial, ya que disponía de los mismos cuando el reclamante acudió nuevamente a dicha entidad financiera para contratar un nuevo servicio financiero en septiembre de 2019.

Infracción:

De esta manera, se imputa al reclamado, en este caso a BANKIA la comisión de una infracción por vulneración del artículo 5.1.b) del RGPD que regula el principio de limitación de la finalidad y, en el que se estipula lo siguiente:

“Los datos serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»)”

Así mismo se establece también la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

Conclusión:

Por último, destacar que la Agencia Española de Protección de Datos ya sancionó este mismo año al BBVA, por un tratamiento ilícito de datos personales (PS/00068/2020), infringiendo el art. 6.1 del RGPD.

Por tanto, queremos recordar la importancia de que las empresas revisen los procesos de conservación de datos, y limitación de la finalidad de los mismos para evitar posibles sanciones.

El Reglamento General de Protección de Datos (RGPD) introduce un cambio drástico en materia de responsabilidad que se proyecta sobre todas las obligaciones a las que están sometidas instituciones y organizaciones, se trata del principio de responsabilidad proactiva o accountability.

El RGPD describe este principio como la necesidad de que los responsables del tratamiento apliquen medidas técnicas y organizativas apropiadas, no sólo para garantizar el cumplimiento de la normativa, sino también para demostrar ante interesados y autoridades de supervisión, dicho cumplimiento. Lo cual se traduce en la exigencia de una mayor implicación por parte de los responsables y los encargados con una actitud proactiva y consciente.

En DATAX somos especialistas en la adecuación e implementación de la privacidad y protección de datos. Con una larga trayectoria profesional que nos acredita, garantizamos un pleno cumplimiento de la normativa vigente en protección de datos y seguridad de la información, trasladando confianza y profesionalidad en el mercado, eliminando los riesgos de sanción o reclamaciones potenciales de terceros, así como optimizando sus beneficios y recursos.

Montse Mateo

Consultor Legal en materia de protección de datos y seguridad de la información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *