El pasado 24 de agosto de 2021, la AEPD impuso a Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) en su procedimiento sancionador PS/00362/2021 (el “Procedimiento”), una multa de 200.000 euros por infringir el artículo 32 del RGPD relativo a la seguridad del tratamiento.

Contexto

Entre sus numerosos servicios, BBVA ofrece una tarjeta llamada Affinity Card (la “Tarjeta”).

Para acceder a la información de los últimos movimientos realizados con su Tarjeta, los clientes de BBVA podían llamar a un número del sistema de atención telefónica automatizado de BBVA.

La única medida de identificación que requería dicho sistema era el número de DNI del cliente. BBVA no realizaba ninguna otra comprobación para verificar si la persona que llamaba era en efecto el titular del DNI.

En consecuencia, cualquier persona con el número de DNI de un cliente podía llamar al número de atención telefónica automatizado y acceder a los movimientos realizados por el cliente a través de su Tarjeta.

Infracción

La AEPD concluye que BBVA infringió el artículo 32 del RGPD al considerar que la medida de seguridad implementada por BBVA para verificar la identidad de sus clientes a través de la solicitud de su número de DNI era insuficiente.

Con el fin de poder valorar qué medidas de seguridad deben aplicarse en qué caso, la AEPD explica que: “al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales”.

El considerando 64 del RGPD también establece que: “El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea […]”. La palabra clave a tener en cuenta en este considerando es “razonables” para evitar entrar en territorio de infracción del principio de minimización de datos si se exigen demasiados datos personales al interesado con el fin de identificarle.

Casos similares en Europa

En un post anterior mencionamos la sanción de 9,55 millones de euros impuesta en Alemania el 10 de diciembre de 2019 a la empresa 1&1 Telecommunication SE GmbH (“1&1”) por carecer de medidas de seguridad adecuadas en el tratamiento de datos.

Recordemos que en dicho caso, cualquier persona que llamaba a la línea directa de atención al cliente de 1&1, solo necesitaba proporcionar el nombre del cliente y su fecha de nacimiento para poder acceder a numerosos datos personales del mismo.

La Comisión Federal Alemana de Protección de Datos y Libertad de la Información estimó que la seguridad del proceso de autentificación de clientes de la línea directa era deficiente al ser fácil de descifrar y ponía en riesgo los datos personales de sus 4,4 millones de clientes, por lo que el proceso no cumplía con las exigencias de seguridad del tratamiento del RGPD.

Sin perjuicio de lo anterior, la sanción contra 1&1 fue recurrida y la cuantía de la multa acabó siendo reducida de 9,55 millones de euros a 900.000 euros el 11 de noviembre de 2020.

Conclusión

En la actualidad, para mitigar el riesgo de fraude en los procesos de autenticación de clientes, cada vez se utilizan más mecanismos con doble factor de autenticación. Esto es, pedir al cliente dos datos en lugar de uno para verificar su identidad. A modo de ejemplo: el DNI del cliente, y un código de banca telefónica que se le ha asignado.

En el pago de la multa, BBVA utilizó los descuentos del 20% por pago voluntario y 20% por reconocimiento de responsabilidad previstos en el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, por lo que el pago final fue de 120.000 euros.

Desde el RGPD Blog continuaremos atentos a la actividad sancionadora de la AEPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.