La Agencia Española de Protección de Datos (AEPD) multa a Bankia por conservar los datos personales de un antiguo cliente tras 16 años desde su baja

El pasado 28 de agosto, la AEPD impuso en su procedimiento sancionador PS/00076/2020 (la “Resolución”) una multa de 50.000 euros a Bankia, S.A. (“Bankia”) por conservar los datos personales del reclamante en sus ficheros pese a que hacía más de 16 años que dejó de ser cliente de la entidad.


Hechos:

Por motivos personales, el reclamante acudió a una oficina de Bankia con el fin de darse de alta nuevamente como cliente. Sin embargo, durante dicho proceso, le comunicaron que seguía apareciendo en sus ficheros como cliente de la entidad, figurando entre otros datos personales, la dirección postal del reclamante en el 2002.

Dado que el reclamante dejó de ser cliente de Bankia hace 16 años, y en la oficina no supieron explicarle por qué todavía conservaban sus datos personales, el reclamante presentó una reclamación ante la AEPD.

Bankia alegó que no infringió la normativa de protección de datos personales, ya que los datos del reclamante se encontraban bloqueados conforme a lo dispuesto en el artículo 32 de la LOPDGDD, el cual establece que:

“1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.

2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales […]”.

No obstante, la AEPD estima que Bankia no cumplió lo dispuesto en este artículo en la medida en la que los datos del reclamante, presuntamente bloqueados, estaban accesibles a los trabajadores de la oficina donde el reclamante solicitó darse de alta como cliente.


Infracción:

La AEPD concluye que Bankia infringió el artículo 5.1.b) del RGPD relativo al principio de finalidad de los datos personales, el cual establece que los datos personales serán: “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines […]”.

Sin embargo, desde el Blog creemos que habría sido mas apropiado penalizar a la entidad por la infracción del artículo 5.1.e) relativa al principio de limitación del plazo de conservación, que establece que los datos personales serán “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales […]”.


Conclusión:

Tras la multa a BBVA, nos encontramos ante la segunda multa en España a un banco por infringir el RGPD en poco mas de un mes. El tiempo dirá si nos encontramos ante una tendencia sancionadora contra los bancos.

Mientras tanto, las empresas deberán considerar si resulta necesario revisar sus procesos de conservación de datos, para verificar que el acceso por parte de sus empleados a aquellos datos bloqueados es en efecto imposible.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x