La AEPD multa a CaixaBank con 25.000 euros por transmitir a una mujer datos bancarios de su hija, sin haberse identificado. [TOL9.630.033]
La madre envió un correo electrónico a una oficina de Bankia para solicitar información sobre la cuenta y datos bancarios de su hija menor, pero recibió una respuesta negativa debido a que el correo electrónico desde el que escribía no estaba registrado en la base de datos. La madre volvió a hacer la solicitud por teléfono y le informaron que la cuenta de su hija había sido cancelada.
Poco después, el director de otra sucursal bancaria llamó a la madre y le proporcionó información sobre la cuenta de otra de sus hijas. El empleado facilitó los datos sin que la madre se identificara con su documento de identidad. Después de la advertencia de su error, el empleado confirmó que la cuenta de la otra niña había sido cancelada y le indicó que acudiera a la oficina donde se había abierto esa cuenta. Allí le informaron que el padre de la menor, empleado de esa entidad bancaria, había cancelado la cuenta y transferido los fondos a su propia cuenta.
Por dichas razones, presentó una reclamación ante la Agencia Española de Protección de Datos, argumentando que se le había obstaculizado el acceso a la información de su hija y presumiendo que el banco había intentado ocultar la cancelación de la otra cuenta. Además, afirmó que se habían facilitado los datos de la otra menor sin verificar la identidad de la persona que los solicitaba. Frente a la reclamación, el banco argumentó que no se había producido ninguna vulneración, al tratarse de su madre, considera el incidente como una mera equivocación.
Resolución de la AEPD
La resolución determina que existen indicios evidentes de vulneración del artículo 32 del Reglamento de Protección de Datos, al proporcionar los datos de la cuenta de un tercero sin haber verificado previamente la identidad de la persona a la que se facilitan. Considera que el incidente de seguridad revela una falla en las medidas establecidas por el banco, lo que permitió el acceso a los datos de terceros que la madre no había solicitado.
En casos anteriores, el Tribunal Supremo ha determinado que en casos como este existe una obligación de resultado, es decir, un compromiso de garantizar el cumplimiento de un objetivo específico que asegure la seguridad de los datos personales y la ausencia de filtraciones o violaciones de seguridad. Esta obligación va más allá de simplemente implementar medidas, sino que se espera alcanzar el resultado propuesto.
Además, encontramos que el banco no ha cumplido con su obligación de establecer medidas técnicas y organizativas necesarias y adecuadas, sobre todo por el tipo de actividad que desarrolla. Destaca el hecho de que se han visto afectados datos de menores.
Por ello, la AEPD impone una sanción de 25.000 euros a CaixaBank, teniendo en cuenta el volumen de negocios manejado por la empresa. La Agencia considera que dicha actuación no es un error, es una quiebra de seguridad.
