Blog

Protecció de Dades

Sancions Protecció de Dades

10 setembre, 2020

SANCIONS PROTECCIÓ DE DADES.

LA IMPORTÀNCIA DE COMPLIR AMB EL PRINCIPI DE LIMITACIÓ DE LES DADES. El passat 28 d’agost, l’AEPD imposa una sanció a Bankia de 40.000 euros per mantenir les dades d’un antic client durant 16 anys incomplint amb l’article 5.1.b. del RGPD.

El procés sancionador PS/00076/2020, comença el 8 de juny del 2020 sobre la base d’una reclamació rebuda per un exclient de l’entitat bancària citada.

Els fets són els següents:

El reclamant manifesta que fa més de 16 anys va deixar de ser client de Caja Madrid, Bankia.

Per motius personals va acudir a una oficina de BANKIA per a realitzar una gestió d’un tema d’herència, en fer-se client novament, li van comunicar que les seves dades figuraven en el sistema, amb una direcció de l’any 2002 i un número de client.

Atès que en l’oficina no van saber explicar-li per què encara conservaven les seves dades personals, va ser quan el sol·licitant va presentar una reclamació davant l’AEPD.

Bankia va al·legar no infringir la normativa de protecció de dades personals, ja que les dades del reclamant es trobaven bloquejades conforme al que es disposa en l’article 32 de la LOPDGDD, el qual estableix que:

“1. El responsable del tractament estarà obligat a bloquejar les dades quan escaigui a la seva rectificació o supressió.

  1. El bloqueig de les dades consisteix en la identificació i reserva d’aquests, adoptant mesures tècniques i organitzatives, per a impedir el seu tractament, incloent la seva visualització, excepte per a la posada a la disposició de les dades als jutges i tribunals, el Ministeri Fiscal o les Administracions Públiques competents, en particular de les autoritats de protecció de dades, per a l’exigència de possibles responsabilitats derivades del tractament i sols pel termini de prescripció d’aquestes. Transcorregut aquest termini haurà de procedir-se a la destrucció de les dades.
  2. Les dades bloquejades no podran ser tractades per a cap finalitat diferent de l’assenyalada en l’apartat anterior.
  3. Quan per al compliment d’aquesta obligació, la configuració del sistema d’informació no permeti el bloqueig o es requereixi una adaptació que impliqui un esforç desproporcionat, es procedirà a un copiat segur de la informació de manera que consti evidència digital, o d’una altra naturalesa, que permeti acreditar l’autenticitat d’aquesta, la data del bloqueig i la no manipulació de les dades durant aquest.
  4. L’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades, dins de l’àmbit de les seves respectives competències, podran fixar excepcions a l’obligació de bloqueig establerts en aquest article, en els supòsits en què, atesa la naturalesa de les dades o el fet que es refereixin a un nombre particularment elevat d’afectats, la seva mera conservació, fins i tot bloquejats, pogués generar un risc elevat per als drets dels afectats, així com en aquells casos en els quals la conservació de les dades bloquejades pogués implicar un cost desproporcionat per al responsable del tractament.”

En aquest sentit, el raonament de l’agència és que, les dades bloquejades no poden estar accessibles als treballadors de les oficines de les entitats financeres, i no obstant això, en aquest cas, ha quedat constatat que ha estat així.

L’AEPD estima que Bankia no va complir el que es disposa en el citat article 32 de la LOPDGDD. Quan es parla de dades bloquejades, s’ha d’entendre que només poden estar accessibles a jutges i tribunals, el Ministeri Fiscal o les Administracions Públiques competents, en particular de les autoritats de protecció de dades.

També es considera provat que l’entitat reclamada conservava en els seus registres les dades personals del reclamat, malgrat haver transcorregut 16 anys des de la seva última relació comercial, ja que disposava dels mateixos quan el reclamant va acudir novament a aquesta entitat financera per a contractar un nou servei financer al setembre de 2019.

Infracció:

D’aquesta manera, s’imputa al reclamat, en aquest cas a BANKIA la comissió d’una infracció per vulneració de l’article 5.1.b) del RGPD que regula el principi de limitació de la finalitat i, en el qual s’estipula el següent:

“Les dades seran recollides amb finalitats determinats, explícits i legítims, i no seran tractats ulteriorment de manera incompatible amb aquestes finalitats; d’acord amb l’article 89, apartat 1, el tractament ulterior de les dades personals amb finalitats d’arxiu en interès públic, finalitats de recerca científica i històrica o finalitats estadístiques no es considerarà incompatible amb les finalitats inicials («limitació de la finalitat»)”

Així mateix s’estableix també la responsabilitat proactiva del responsable del tractament de demostrar el seu compliment.

Conclusió:

Finalment, destacar que L’Agència Espanyola de Protecció de Dades ja va sancionar aquest mateix any al BBVA, per un tractament il·lícit de dades personals (PS/00068/2020), infringint l’art. 6.1 del RGPD.

Per tant, volem recordar la importància que les empreses revisin els processos de conservació de dades, i limitació de la finalitat dels mateixos per a evitar possibles sancions.

El Reglament General de Protecció de Dades (RGPD) introdueix un canvi dràstic en matèria de responsabilitat que es projecta sobre totes les obligacions a les quals estan sotmeses institucions i organitzacions, es tracta del principi de responsabilitat proactiva o accountability.

El RGPD descriu aquest principi com la necessitat que els responsables del tractament apliquin mesures tècniques i organitzatives apropiades, no sols per a garantir el compliment de la normativa, sinó també per a demostrar davant interessats i autoritats de supervisió, aquest compliment.

 

La qual cosa es tradueix en l’exigència d’una major implicació per part dels responsables i els encarregats amb una actitud proactiva i conscient.

En DATAX, som especialistes en l’adequació i implementació de la privacitat i protecció de dades. Amb una llarga trajectòria professional que ens acredita, garantim un ple compliment de la normativa vigent en protecció de dades i seguretat de la informació, traslladant confiança i professionalitat en el mercat, eliminant els riscos de sanció o reclamacions potencials de tercers, així com optimitzant els seus beneficis i recursos.

Montse Mateo

Consultor Legal en matèria de protecció de dades i seguretat de la informació.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *