La AEPD impone 5 millones de euros de sanción al BBVA

La AEPD impone 5 millones de euros de sanción al BBVA por vulnerar tres artículos del RGPD: la más alta de la historia de la Autoridad

La Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA una multa de 5 millones de euros por dos infracciones. Una muy grave, de 3 millones de euros, por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), en cuanto a la fórmula utilizada para obtener el consentimiento de sus clientes. Y otra leve, de 2 millones de euros, por los datos obtenidos del interesado, que suponen una vulneración de los artículos 13 y 14 del RGPD.

Al mismo tiempo, en dicha resolución la propia AEPD impone una serie de medidas coercitivas que obliga al BBVA a reformular, en seis meses, su sistema de gestión de protección de datos en relación con el deber de información y obtención del consentimiento.

Es la sanción más alta jamás impuesta en la historia de la AEPD.

La resolución de la AEPD, de más de 120 páginas, da cabida a las alegaciones de dicha entidad financiera en su contenido.

Al superar el millón de euros de cuantía también aparecerá en los próximos días en el Boletín Oficial del Estado.

El BBVA puede interponer recurso de reposición ante la AEPD y acudir a la Audiencia Nacional en vía contenciosa y recurrir esta sanción.

Hasta el momento la sanción más importante que había puesto la Agencia Española era la que impuso a Facebook en el 2017 por un importe de 1,2 millones de euros al constatar que dicha rede social recopilaba , almacenaba y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento.

Con esto se acabaron las treguas. Desde hace algún tiempo, las autoridades de protección de datos de diferentes países han empezado a imponer sanciones de gran cuantía a las empresas siguiendo las directrices del RGPD.

LA AEPD SE ALINEA CON OTRAS AUTORIDADES EUROPEAS

Francisco Javier Sempere, abogado experto en protección de datos, recuerda que “la semana pasada la CNIL [Commission Nationale de l’Informatique et des Libertés, de Francia (Comisión Nacional de Informática y Libertades)] ha impuesto sendas multas de 100 millones de euros a Google (60 a Google LLC y 40 a Google Ireland Limited) y 35 millones a Amazon Europe Core por vulneraciones relacionadas con las ‘cookies’».

Sempere recuerda que la Information Commissioner’s Office (ICO) [Oficina del Comisionado de Información], autoridad británica equivalente a la AEPD, “ha sido bastante mediáticas las multas impuestas tanto a British Airways como a Hoteles Marriots de 20 y 18,4 de millones de euros respectivamente por mala gestión de brechas de seguridad . No obstante, la propuesta era de haberlas sancionadas con 204 y 110 millones, por lo que se ha producido una considerable rebaja”.

Sempere también recalca que “siguiendo con las sanciones mediáticas, otra de tal carácter y también bastante reciente ha sido la impuesta por la Autoridad de Protección de Datos de Hamburgo a H & M con 35 millones de euros por falta de legitimación, ya que en su sede de Nuremberg se recabaron datos de sus empleados de salud, relacionados con sus familiares o incluso creencias religiosas”.

Por su parte, “el Garante italiano ha impuesto dos bastante altas también: a una empresa de telecomunicaciones (más de 27 millones), o a Vodafone Italia (con más de 12 millones). Ambas por la vulneración de diversos preceptos del RGPD”, destaca.

Este experto en privacidad también señala que “cuando era de aplicación la Ley Orgánica de Protección de Datos, cuyo límite estaba fijado en 600.000 euros para las infracciones tipificadas como muy graves, ahora con el RGPD marca hasta 20 millones o ek 4% del volumen de negocio total anual. El pódium lo forman Facebook (1.200.000 euros), Zeppelin Television S.A (1.081.821) y Google Inc (900.000)”.

“Todas ellas han sido multadas por la comisión de varias infracciones, de ahí que superen ese límite de 600.000″, aclara Sempere.

No obstante, lo anterior, habrá que ver si los tribunales confirman o no estas multas, o las rebajan.

«Hace unos días conocimos que se ha declarado nula por el tribunal correspondiente la multa impuesta de 18 millones de euros por la autoridad de protección de datos de Austria a su servicio de correos por la venta de los datos de sus usuarios”.

Fuente e información ampliada: https://confilegal.com