El pasado 20 de julio la AEPD impuso en su resolución PS/00068/2020 (la “Resolución”) una multa de 30.000 euros a Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) por tratar los datos personales del reclamante sin estar legitimado para ello.

Hechos:

El 16 de septiembre de 2019 el reclamante ejerció su derecho de acceso ante los ficheros de solvencia patrimonial Asnef-Equifax y Badexcug-Experian y comprobó que, el 6 de septiembre de 2019, BBVA consultó dichos ficheros para averiguar si el reclamante figuraba en ellos.

Sin embargo, el reclamante alega que no existía una relación contractual entre él y BBVA que justificara dicha consulta.

La relación contractual entre BBVA y el reclamante se limitaba a una póliza de préstamo con fecha 19 de febrero de 1998 suscrita por el reclamante que fue cancelada el 27 de septiembre de 1999, y figurar como persona autorizada (no como titular) en un contrato de Tarjeta Galerías Preciados formalizado el 12 de febrero de 1993 que fue cancelado el 18 de septiembre de 2019.

El BBVA alega que “dado que hasta el 18 de septiembre de 2019 el reclamante mantenía una relación contractual con BBVA, la consulta a los ficheros de información de solvencia patrimonial y crédito se realizó dentro de los márgenes de la operativa contractual habitual, y dentro de la más estricta legalidad vigente”.

La AEPD sin embargo concluye que en el contrato de Tarjeta Galerías Preciados “el reclamante interviene en calidad de Persona Autorizada; y en este sentido no firma ningún contrato con la entidad”, por lo que no existía una relación contractual entre el reclamado y BBVA que justificara la consulta de los ficheros de solvencia patrimonial por parte de este último.

Infracción:

Según la Resolución, BBVA infringió el artículo 6.1 del RGPD ya que “no acredita la legitimación para el tratamiento de los datos del reclamante”. Es decir, BBVA no puede justificar con una base legal su consulta de los ficheros de solvencia patrimonial.

El artículo 20.e) de la LOPDGDD que también menciona la Resolución, explica en este sentido “que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica […]”.

Conclusión:

El presente caso resulta interesante por ser la primera multa de la AEPD a un banco por infringir el RGPD, si bien el importe de la multa es relativamente bajo para una entidad como BBVA.

La lección aprendida es la de establecer un procedimiento claro y un control bien definido a la hora de realizar consultas en los ficheros de solvencia patrimonial, para asegurarse que la entidad que realiza la consulta tiene en efecto una relación contractual con la persona cuyo nombre se consulta. Y aún más importante: poder demostrarlo.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.