Nadie está libre de un descuido. Pero no tiene perdón si te han avisado de ello y no has reaccionado a tiempo. La noticia la dio Voz Populi: Protección de datos había sancionado al BBVA tras recibir la denuncia de un ciudadano por un mal tratamiento de datos personales en marzo del 2020. Un particular reclamó ante la agencia al darse cuenta de que el sistema de atención telefónica automatizado tan solo le pidió como dato identificativo el DNI del cliente.
En la documentación del expediente se explica que el tratamiento realizado por BBVA no cumple con el Reglamento General de Protección de Datos (RGPD), el marco legal por el que se rige la gestión de la información de los ciudadanos no solo de España, sino también de la Unión Europea. La resolución reflejaba lo que denunció el cliente: "Se manifiesta por el reclamante que la entidad reclamada no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo", pero es que según ha podido saber Escudo Digital, el Banco pudo haberse ahorrado la sanción, de haberse tomado en serio las advertencias.
La agencia tiene unos procedimientos mediante los que puedes corregir lo que tienes mal, y si lo corriges no te ponen multa, y el banco, según señalan fuentes cercanas al caso, les contestó que "la carta de aviso estaba mal hecha". Y en su resolución lo que les ha venido a decir la Agencia es que. "de acuerdo, la carta estaba mal hecha, no te preocupes, son 200.000 euros de multa". La soberbia y la prepotencia pueden salir muy caros, pero hay entidades que prefieren asumir posibles quebrantos por si cuela; "es lo que le ocurre a veces al BBVA", nos cuentan fuentes del ámbito legal bancario.
Hay quienes justifican así lo ocurrido: "La carta no cayó en las manos adecuadas, o en la persona que cayó no conoce el tema de la advertencia, se debió de pensar que existía un procedimiento sancionador y lo que hizo fue escribir a la agencia y decirles que el procedimiento sancionador estaba mal abierto, y no le estaban abriendo un procedimiento sancionador, simplemente le estaban avisando". El artículo de la norma da dos opciones: arreglarlo o indemnizar y cubrir los problemas que hayan tenido los afectados. Y con cualquiera de estas opciones la agencia podría haber decidido no abrir expediente sancionador, archivar la demanda la denuncia y no habría pasado nada.
El banco pensó que le estaban poniendo una multa y contestó con los argumentos que suelen dar los abogados en estos casos. Las falta de personal, alegan fuentes del banco, puede haber originado este problema. Como ya informamos, el BBVA está inmerso en un ERE con prácticas dudosas que va a ser impugnado, y al que se quieren apuntar más empleados de los que se necesita despedir porque no aguantan las presiones.
Nos hemos puesto en contacto con el abogado Leandro Núñez, de Audens, especializado en Nuevas Tecnologías, y le hemos preguntado si este tipo de actuaciones pueden crear jurisprudencia y afirma "que no tanto, el banco se ha dado cuenta de que lo ha hecho mal y reconoce que lo ha hecho mal y paga 120.000. Ha optado por un descuento del 40%, que es lo que permite la norma".
Según Leandro, en este caso, lo relevante y la conclusión que tenemos que sacar "es que utilizar un parámetro como puede ser solo el DNI para tratar de identificar a la gente no es suficiente, y tienes que solicitar un tipo de información que solo ellos o tú conozcas y que nadie pueda adivinar de forma arbitraria. Esto se llama protección de datos desde el diseño y cuando lanzas una aplicación nueva tienes que ser cuidadoso para implementar en ese sistema todas las medidas que sean necesarias para que no ocurran cosas como estas. Esto era un sistema telefónico, y en este caso había que haberle pedido algo más, el pin, una doble verificación, algún criterio extra".
La práctica que ha dado lugar a la sanción era sobre el consumo con tu tarjeta de crédito. "El tema de las tarjetas -añade Leandro Núñez- es sensible, y lo es porque se puede utilizar en los procedimientos de divorcio, porque la pareja conoce el DNI de su pareja, y si con el DNI le dan la información puede saber en qué está gastando el dinero, y se puede utilizar para un procedimiento de medidas adicionales, etc. Es información delicada".
El experto consultado afirma que gestionar bien la privacidad no es tan difícil, "en muchos servicios que hay por Internet te puedes identificar correctamente dando información que solo tú conoces " y de esa forma evitas problemas. En este caso era solo anecdótico porque el denunciante solo quería solicitar solo el saldo de una tarjeta, pero "imagínate que pudieses hacer una confrontación, o duplicar una tarjeta de móvil, como el SIM SWAPPING, que no tiene nada que ver con este caso, pero alguien fraudulentamente consigue un duplicado de la tarjeta del móvil y es ahí donde te manda el banco los datos para la doble verificación o la contraseña del banco para entrar en tu cuenta y hacer movimientos".
Sigue leyendo si quieres ver un párrafo hilarante del dictamen que deja en muy mal lugar al BBVA, la opinión de un experto en ciberseguridad sobre la sanción y otros detalles jugosos.
"Sería necesario, para valorar el impacto que ha tenido sobre los derechos de los ciudadanos, saber en cuántas ocasiones se empleó dicho procedimiento, y durante cuánto tiempo estuvo activa esa ventana de riesgo".
Según fuentes expertas en ciberseguridad, la sanción es ridícula con respecto a lo que debería ser, aunque, señalan que "sería necesario concretar qué proceso presentaba ese fallo de procedimiento que permitió obtener los datos personales de una persona física facilitando únicamente su DNI. El problema está en la industrialización de la explotación de esta vulnerabilidad, ya que si de forma sistemática se aplicase el mismo procedimiento que permitió obtener estos datos estaríamos frente a una debilidad grave. Sería necesario para valorar el impacto que ha tenido sobre los derechos de los ciudadanos, saber en cuántas ocasiones se empleó dicho procedimiento, y durante cuánto tiempo estuvo activa esa ventana de riesgo". Y es que la evaluación de los riesgos asociados a la privacidad en todos los procesos de negocios, además de imprescindible, es un requisito del RGPD, y por tanto se debería solicitar que se presente dicha evaluación del proceso, así como, según añade nuestra fuente, "las medidas que se definieron, así como el proceso de verificación posterior a las mismas. Si existe un incumplimiento tácito de estas directrices estaríamos ante un hecho mucho más grave, y la sanción impuesta ahora sería ridícula en comparación con la resultante".
El BBVA ya fue sancionado con una multa de cinco millones de euros por utilizar los datos de cinco clientes con fines publicitarios
Una empleada del BBVA de los que quieren abandonar la compañía afirma que no pasan más cosas "porque Dios no quiere. Hay oficinas en las que en el mes de agosto solo haya un apoderado, si es que lo hay, y un ETT, que es quien abre el banco, y tiene llaves. Hace años se cubrían unas normas, pero en los últimos tiempos parece que esas normas no existen y ya vale todo".
Nuestra fuente, una persona de cierta edad que conoció tiempos más analógicos de la banca, afirma que de lo ocurrido "no tiene la culpa la tecnología, porque algunas veces por vía telefónica hace ya muchos años, algún empleado metió la pata dando datos a alguna persona que se identificó como otra también con el DNI. Si se hizo una transferencia por exceso de confianza, el banco asumió el quebranto, como sigue asumiendo ahora los fallos derivados de los problemas de ciberseguridad. Lo sangrante es que se hubieran podido ahorrar 120.000 euros y no lo hayan hecho. Probablemente alguien perderá su puesto de trabajo y estoy convencida de que el abogado que hizo las cosas mal estaba tan sobrecargado que por eso cometió el fallo, pero se van a seguir incumpliendo normas probablemente por falta de adoptar las medidas adecuadas". He aquí la frase de la Agencia de Protección de datos, que preside Mar España, que resulta, a fuerza de irónica, casi hilarante:
En este país, aseguran otras fuentes consultadas, "no hay más demandas contra la banca porque no son a coste cero, las únicas demandas a coste cero son las presentadas contra la administración. Hay que disponer de una cantidad para garantizar el pago de las costas, vivimos en una sociedad gobernada por el miedo".
El banco, y los banco, de momento, asumen los costos derivados de errores como transferencias por suplantación de identidad. Lo que ocurre, afirma una fuente relacionada con los organismos de control, es que "los directivos se mueven por estadísticas, preguntan: ¿Qué porcentaje de quebrantos tenemos? Del 5%, por ejemplo, y entonces asumen hasta un diez. La pregunta que se hace el ahorrador, cada vez peor tratado por los bancos que les cierran la cajas, asustados ante tantas noticias sobre la clonación de apps de webs en los portátiles, es cuándo se dejarán de asumir tantos quebranto". Lo ideal asegura nuestra fuente es "que se hicieran las cosas bien. En la banca el problema no es el dinero a la hora de pagar un quebranto o una multa puntual, la pagan o la recurren hasta que pasan diez años, si es preciso". Y la culpa de lo ocurrido en gran parte, afirma nuestra fuente,la tiene Francisco González, quien decidió judicializarlo todo cuando entró Dona De Angelis, siguiendo sus consejos. Más tarde la fulminó cuando empezó a hacerle sombra con una compensación multimillonaria.
Mientras el BBVA intenta ahorrar costos, hay situaciones bochornosas, aseguran algunos trabajadores, y una de ellas es que Francisco González siguiera disponiendo de un despacho hasta hace relativamente poco en Recoletos, y aún ahora el banco esté sufragando los guardaespaldas de un hombre obsesionado con los metadatos que soñaba, afirman los que le conocen, con convertir el banco en una especie de Amazon aprovechando los datos de los clientes. ¿Ilegal? Tal vez hace algún tiempo no, o no del todo, porque las condiciones contractuales son y han sido enormemente grandes y con la letra enormemente pequeña, afirman fuentes del ámbito bancario consultadas. Pero hay que tener cuidado. La nueva legislación protege a unos clientes que no acaban de ser conscientes de sus derechos. No hay que olvidar que a finales del 2020 la Agencia de Protección de Datos ya penalizó al banco con una multa de cinco millones de euros por cinco reclamaciones de distintos usuarios que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios, según publicó en su momento Xataka.