Bankinter ha abonado una multa de 80.000 euros a la Agencia de Protección de Datos, después de que un usuario del banco interpusiese una reclamación por tener acceso, a través de su cuenta, a los movimientos de otra cuenta perteneciente a un tercero, según la resolución consultada por Europa Press.
Esta sanción se produce después de que un cliente del banco indicase a la Agencia de Protección de Datos que al acceder a su área personal en la página web de Bankinter, en el apartado correspondiente al extracto mensual, figuraban los movimientos de su cuenta y los de otra cuenta perteneciente a un tercero.
Tras comunicar el error al banco, y no subsanarse, el cliente decide interponer una reclamación ante la Agencia de Protección de Datos, que pasa a remitir la información a Bankinter. En un escrito remitido al organismo, la entidad defiende que la incidencia fue provocada por un error a la hora de gestionar el cambio de titularidad de la cuenta perteneciente a un tercero.
En concreto, el banco explica que el cliente fue en el pasado cotitular de dicha cuenta y que el problema radicaría en no haberse actualizado correctamente la información que aparecía en el extracto mensual del reclamante para excluir la relativa a la otra cuenta.
Además, defiende la ausencia de «dolo y culpa» en su actuación y la existencia en la entidad de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad en el tratamiento de los datos, la desproporción de las sanciones propuestas y la necesaria aplicación de atenuantes y ausencia de agravantes. Pide, asimismo, el archivo del procedimiento y, por tanto, la minoración de las sanciones.
Sin embargo, la Agencia de Protección de Datos señala en la resolución que la documentación aportada por el reclamante ofrece «indicios evidentes» de que Bankinter vulneró el artículo 5 del Reglamento General de Protección de Datos (RGPD) en lo relativo al deber de confidencialidad.
Al respecto, la agencia explica que este deber tiene por objetivo «evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos» y que se trata de una obligación que incumbe no solo al responsable y encargado del tratamiento de los datos, sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.
Por tanto, la agencia estima que Bankinter es responsable de la infracción del artículo 5.1.f) del RGPD por la que le impone una sanción de 60.000 euros. Además, impone al banco otra sanción de 40.000 euros por vulneración del artículo 32.1 del reglamento.
Sobre esta última vulneración, Protección de Datos afirma que Bankinter no solo habría incumplido la obligación de implementar las medidas técnicas y organizativas adecuadas para asegurar la confidencialidad de los datos, sino que además «se desconoce la adopción de medidas al respecto, a pesar de haberle sido trasladada esta reclamación».
La agencia también incluye como agravantes que los hechos afectan a un principio básico en el tratamiento de los datos de carácter personal, como es el de la confidencialidad e integridad; que la actividad del banco está vinculada al tratamiento de datos de clientes y de terceros; que, ante el volumen de negocio del banco, la trascendencia de la conducta reclamada es «innegable»; y que aunque no se pueda sostener que Bankinter haya actuado intencionadamente, para la agencia «no cabe duda» de que se observa «una grave falla» de diligencia en su actuación.
Por el lado contrario, como atenuante, Protección de Datos señala que se ha visto afectada una persona por esta conducta.
En total, la agencia ha impuesto a Bankinter una sanción de 100.000 euros, si bien el importe se ha reducido a 80.000 por el pago voluntario de la sanción por parte de la entidad. Esto supone dar por finalizado el procedimiento e implica la renuncia de la entidad a cualquier acción o recurso por vía administrativa contra la multa.
Deja una respuesta