Multa al BBVA

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA dos sanciones -una de 3 millones de euros y otra de 2 millones- por diversas deficiencias en la redacción de su política de privacidad y tratamiento de datos personales de los clientes que éstos deben aceptar al contratar sus servicios (procedimiento sancionador 00070/2019).

Esta sanción nos ha llamado especialmente la atención porque el BBVA es una entidad muy poderosa económicamente y está muy involucrada en cuestiones de calidad, cumplimiento normativo, etc. De hecho, para muchos, puede ser considerada como un referente en España en estos asuntos. Además, es evidente que la política de confidencialidad del BBVA ha sido redactada por expertos en materia de protección de datos y siguiendo la normativa y las propias recomendaciones dadas por la AEPD en las guías que ha ido dictando al respecto.

Sin embargo, a pesar de eso, la AEPD considera que hay una serie de cuestiones en dicha redacción, especialmente a la hora de informar sobre las finalidades del tratamiento de datos y sobre las bases legitimadoras para tratar los datos de sus clientes, sobre todo cuando las basan en el consentimiento y en el interés legítimo del propio banco, que no se acomodan a la normativa y, por eso, le impone esos cinco millones de euros de sanción.

La resolución consta de 124 folios y está exhaustivamente desarrollada pero, resumiendo, la cuestión clave sobre la que pone el foco es que hay que prestar especial atención a la redacción de la información sobre protección de datos, ya que:

  • La normativa es cada vez más y más compleja.
  • Además de la normativa, tanto la propia Agencia Española de Protección de Datos como el Comité Europeo de Protección de Datos, publican permanentemente guías, criterios, recomendaciones, etc. sobre cómo consideran que se debe informar y esos criterios luego son tenidos en cuenta a la hora de sancionar.

Por tanto, resulta fundamental estar muy al tanto de toda esa información, que además está viva y evoluciona constantemente, para poder adecuar la información sobre protección de datos a esos criterios.

Y es que, si una entidad como el BBVA, que a buen seguro ha dedicado cientos de miles de euros a esta cuestión y que ha contado con los mejores profesionales que el dinero puede pagar, ha sido sancionada, pensemos qué puede ocurrirles a las pequeñas empresas que simplemente copian y pegan una política de privacidad que les ha parecido interesante o que tienen una política desactualizada.

En este sentido, vale la pena insistir en que la clave en materia de protección de datos es tener una predisposición dinámica, no estática, e ir adaptándose a los cambios y criterios que se van permanentemente  modificando y contar con un asesoramiento profesional que os ayude en esos cambios.

Por nuestra parte, sólo nos queda recordaros que, en Grupo Vadillo Asesores, contamos con dos delegados de protección de datos (DPD) certificados por la Entidad Nacional de Certificación (ENAC) y la Agencia Española de Protección de Datos. Además, somos DPDs externos de más de 20 entidades de muy distintos sectores (educativo, sanitario, industrial, tercer sector, religioso, sector público…) en Álava y el resto del País Vasco.

Y, si queréis que os ayudemos en materia de protección de datos, no dudéis en consultarnos llamando al teléfono 945 222 762, o enviando un email a Luis Jorquera (ljorquera@grupovadillo.com) o Amaia Chaparro (achaparro@grupovadillo.com).

Comparte este artículo:

Únete a la lista de correo para no perderte nada