La Agencia Española de Protección de Datos (AEPD) ha multado con 70.000 euros a BBVA por filtrar a una clienta la dirección personal de un abogado, también cliente de la entidad.

En noviembre de 2020 el abogado presentó en nombre de dicha clienta una reclamación ante la entidad bancaria. Una semana después, BBVA entregó a la usuaria un escrito relativo a esta reclamación. En el documento, sin embargo, constaba la dirección particular del letrado en lugar de la del despacho profesional.

El afectado decidió entonces reclamara ante la AEPD al considerar que el banco había revelado su domicilio particular, que no era conocido por la clienta y que fue desvelado por BBVA, ya que él mismo era cliente de la entidad.

Aportó como prueba la reclamación que puso en nommbre de la usuaria y en la que no se indicaba ninguna dirección de contacto, así como el escrito de respuesta de BBVA en el que aparecía su dirección personal.

"Error involuntario"

BBVA alegó entonces que se había tratado de un error involuntario, ya que el director de la oficina desconocía que se trataba de la dirección particular del abogado.

La AEPD, sin embargo, ha dictaminado que la entidad no explicó en que consistió el error y que, aún así, "no puede admitirse que la actuación de la entidad derive de un error", ya que pasarlo por alto sería ignorar la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).

Así, la Agencia ha señalado que "la entidad no ha adoptado de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos de sus clientes".

"Especialmente", continúa la resolución de la AEPD, "las dirigidas a impedir el acceso a la información por terceros no autorizados, como de hecho ocurrió cuando la propia entidad reclamada facilitó al cliente de la parte reclamante el documento de acuse de recibo de la reclamación formulada, dirigido a la parte reclamante y a su domicilio personal".

Sanciones anteriores

No se trata de la primera ocasión en que BBVA se enfrenta a multar por infringir la normativa de protección de datos.

En 2020, tuvo que pagar 5 millones de euros por vulnerar varios puntos del RGPD al enviar publicidad a personas que ejercían su derecho de oposición a la cesión de datos con fines promocionales.

Además, también fue multado con 200.000 euros por dar información asociada a un DNI con tan sólo facilitar el número, y con otros 48.000 euros por desvelar a un tercero el saldo de la cuenta de una clienta.