Se habrían librado de haberse tomado en serio las advertencias

La tremenda chapuza del BBVA por la que protección de datos le ha hecho pagar una multa de 200.000 euros

148
EL BBVA sancionado por la Agencia de Protección de Datos

Nadie está libre de un descuido. Pero no tiene perdón si te han avisado de ello y no has reaccionado a tiempo. La noticia la dio Voz Populi: Protección de datos había sancionado al BBVA tras recibir la denuncia de un ciudadano por un mal tratamiento de datos personales en marzo del 2020. Un particular reclamó ante la agencia al darse cuenta de que el sistema de atención telefónica automatizado tan solo le pidió como dato identificativo el DNI del cliente.

En la documentación del expediente se explica que el tratamiento realizado por BBVA no cumple con el Reglamento General de Protección de Datos (RGPD), el marco legal por el que se rige la gestión de la información de los ciudadanos no solo de España, sino también de la Unión Europea. La resolución reflejaba lo que denunció el cliente: “Se manifiesta por el reclamante que la entidad reclamada no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo”, pero es que según ha podido saber Escudo Digital, el Banco pudo haberse ahorrado la sanción, de haberse tomado en serio las advertencias.

La agencia tiene unos procedimientos mediante los que puedes corregir lo que tienes mal, y si lo corriges no te ponen multa, y el banco, según señalan fuentes cercanas al caso, les contestó que “la carta de aviso estaba mal hecha”. Y en su resolución lo que les ha venido a decir la Agencia es que. “de acuerdo, la carta estaba mal hecha, no te preocupes, son 200.000 euros de multa”. La soberbia y la prepotencia pueden salir muy caros, pero hay entidades que prefieren asumir posibles quebrantos por si cuela; “es lo que le ocurre a veces al BBVA”, nos cuentan fuentes del ámbito legal bancario.

Hay quienes justifican así lo ocurrido: “La carta no cayó en las manos adecuadas, o en la persona que cayó no conoce el tema de la advertencia, se debió de pensar que existía un procedimiento sancionador y lo que hizo fue escribir a la agencia y decirles que el procedimiento sancionador estaba mal abierto, y no le estaban abriendo un procedimiento sancionador, simplemente le estaban avisando”. El artículo de la norma da dos opciones: arreglarlo o indemnizar y cubrir los problemas que hayan tenido los afectados. Y con cualquiera de estas opciones la agencia podría haber decidido no abrir expediente sancionador, archivar la demanda la denuncia y no habría pasado nada.

El banco pensó que le estaban poniendo una multa y contestó con los argumentos que suelen dar los abogados en estos casos. Las falta de personal, alegan fuentes del banco, puede haber originado este problema. Como ya informamos, el BBVA está inmerso en un ERE con prácticas dudosas que va a ser impugnado, y al que se quieren apuntar más empleados de los que se necesita despedir porque no aguantan las presiones.

Nos hemos puesto en contacto con el abogado Leandro Núñez, de Audens, especializado en Nuevas Tecnologías, y le hemos preguntado si este tipo de actuaciones pueden crear jurisprudencia y afirma “que no tanto, el banco se ha dado cuenta de que lo ha hecho mal y reconoce que lo ha hecho mal y paga 120.000. Ha optado por un descuento del 40%, que es lo que permite la norma”.

Según Leandro, en este caso, lo relevante y la conclusión que tenemos que sacar “es que utilizar un parámetro como puede ser solo el DNI para tratar de identificar a la gente no es suficiente, y tienes que solicitar un tipo de información que solo ellos o tú conozcas y que nadie pueda adivinar de forma arbitraria. Esto se llama protección de datos desde el diseño y cuando lanzas una aplicación nueva tienes que ser cuidadoso para implementar en ese sistema todas las medidas que sean necesarias para que no ocurran cosas como estas. Esto era un sistema telefónico, y en este caso había que haberle pedido algo más, el pin, una doble verificación, algún criterio extra”.

La práctica que ha dado lugar a la sanción era sobre el consumo con tu tarjeta de crédito. “El tema de las tarjetas -añade Leandro Núñez- es sensible, y lo es porque se puede utilizar en los procedimientos de divorcio, porque la pareja conoce el DNI de su pareja, y si con el DNI le dan la información puede saber en qué está gastando el dinero, y se puede utilizar para un procedimiento de medidas adicionales, etc. Es información delicada“.

El experto consultado afirma que gestionar bien la privacidad no es tan difícil, “en muchos servicios que hay por Internet te puedes identificar correctamente dando información que solo tú conoces ” y de esa forma evitas problemas. En este caso era solo anecdótico porque el denunciante solo quería solicitar solo el saldo de una tarjeta, pero “imagínate que pudieses hacer una confrontación, o duplicar una tarjeta de móvil, como el SIM SWAPPING, que no tiene nada que ver con este caso, pero alguien fraudulentamente consigue un duplicado de la tarjeta del móvil y es ahí donde te manda el banco los datos para la doble verificación o la contraseña del banco para entrar en tu cuenta y hacer movimientos”.

Sigue leyendo si quieres ver un párrafo hilarante del dictamen que deja en muy mal lugar al BBVA, la opinión de un experto en ciberseguridad sobre la sanción y otros detalles jugosos.

Artículo
La tremenda chapuza del BBVA por la que protección de datos le ha hecho pagar una multa de 200.000 euros
Nombre
La tremenda chapuza del BBVA por la que protección de datos le ha hecho pagar una multa de 200.000 euros
Descripcion
Un párrafo del dictamen resulta hilarante y deja en ridículo la actuación del Banco, podrían haberse ahorrado la multa. Un cliente los denunció por facilitar datos utilizando solo su DNI.
Autor
Publico
Escudo Digital
Logo