Procedimiento No: PS/00070/2019
Las imputaciones que se le hacían al BBVA eran la de la infracción del art. 13: por emplear una terminología imprecisa para definir la política de privacidad, por la insuficiente especificación sobre la categoría de datos personales, por el incumplimiento de la obligación de informar sobre la finalidad del tratamiento y por la insuficiente información sobre el tipo de perfiles que se van a realizar y los usos a los que se van a destinar.
Asimismo, por infracción del art. 6 RGPD por la inexistencia de un mecanismo específico para recabar el consentimiento y por el incumplimiento de los requisitos establecidos para prestar el consentimiento, como se exige, de manera específica, inequívoca e. informada. También, por la insuficiente motivación de los tratamientos de datos personales basados en el interés legítimo responsable.
La AEPD (Agencia Española de Protección de Datos) finalmente resolvió imponer a la entidad, por una infracción leve de los artículos 13 y 14 RGPD, un multa de por importe de dos millones de euros. Por otro lado, decidió imponer, por la vulneración del art. 6 RGPD, una multa de tres millones de euros. A su vez, decide requerir al BBVA a que, en el plazo de seis meses, adecúe a la normativa de protección de datos las operaciones que realiza. Llegado el término del plazo, la Entidad habrá de justificar ante la AEPD su adecuación a la normativa.
El BBVA puede interponer recurso de reposición ante la AEPD y acudir a la Audiencia Nacional en vía contenciosa.
Al superar el millón de euros de cuantía también aparecerá en los próximos días en el Boletín Oficial del Estado.