Multa a BANKIA


Veinte mil euros le ha costado a BANKIA un error, consistente en incluir a uno de sus clientes en un fichero de morosos (ASNEF) indebidamente.

Tan indebidamente lo hizo la entidad, que no dudó en reconocer su error cuando la Agencia Española de Protección de Datos le abrió expediente sancionador que dio lugar al procedimiento de tal naturaleza identificado con el número 593/2013, en el que se dictó la resolución número 218/2014.

La AEPD entiende que BANKIA habría cometido una sanción grave, vulnerando el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Dicho precepto establece que:

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

En el caso que os comento, BANKIA pasó los datos del denunciante al ASNEF por una deuda de 1.109,52 euros derivada de unos préstamos personales,  a pesar de que el contrato del que traía causa había sido declarado nulo por sentencia judicial firme.

Dos cuestiones me llaman la atención en esta resolución de la AEPD:

1º. La Agencia, en primer lugar, decide (por aplicación del conocido principio general del derecho “pobrecilla BANKIA”) atenuarle la sanción, que al tener el grado de grave, llevaría asociada multa de entre 40.001 y 300.000 euros. Se la reduce porque el artículo 45.5.d) de la LOPD así lo permite cuando el infractor haya reconocido espontáneamente su culpabilidad. En consecuencia, ya no se le aplica el tramo de los 40.001 euros a los 300.000, sino el de las infracciones leves (900 euros  a 40.000).

2º. En segundo lugar, y aclarado que la pobrecilla BANKIA ha entonado el mea culpa y debe ser premiada, la Agencia le agrava la sanción por el carácter continuado de la infracción, por la vinculación de su actividad con el tratamiento de datos personales y por su volumen de negocio (artículo 45.4, letras a, c y d).

Una de cal y una de arena.

Y al final la AEPD hace “la cuenta la vieja” y son 20.000.

La verdad, no me parece gran cosa para una entidad financiera que reconoce su culpa.

Yo le habría puesto la multa máxima.

Manías personales que tiene una.

Tratamiento y cesion inconsentida datos

Me referiré hoy a la Resolución nº 2799/2013 de la Agencia Española de Protección de Datos, dictada en el procedimiento sancionador nº 277/2013.

En ella se imponen las siguientes multas:

1.   Una de 40.001 euros a IBC JURÍDICA, SL  , por infringir el artículo 6.1 LOPD (principio del consentimiento). Es una infracción grave.

2.   Otra de 40.001 euros también a IBC JURÍDICA, pero esta vez por infringir el artículo 11.1 LOPD (prohibición de comunicación de datos). Es una infracción grave.

3.   Una última de igual importe (40.001 euros) a ANWALTSPANIEN, SL por infracción grave, al vulnerarse el artículo 6.1 LOPD una vez más.

¿Y qué han hecho esta vez las infractoras –te preguntarás-para merecer tan cuantiosas sanciones?

Veámoslo en los hechos probados de la resolución, que se pueden resumir del siguiente modo:

Un particular denuncia que sus datos se encuentran en poder de las empresas denunciadas (las que han sido objeto de sanción), sin que él en ningún momento les haya aportado tales datos ni mantenido relación de ningún tipo con las mismas. Y en efecto, las empresas no demuestran en ningún momento que existiera relación previa, ni contrato firmado ni consentimiento otorgado para la aportación de datos personales.

No obstante, giraron  adeudos por domiciliaciones contra el denunciante, por los que le cargaron en su cuenta 37,76 y 29,50 euros por un supuesto “contrato en la web”.

El denunciante tampoco dio su consentimiento para que sus datos fueran cedidos a terceros.

La empresa IBC JURÍDICA supuestamente prestaba un servicio jurídico que en un determinado momento pasó a prestar ANWALTSPANIEN, según acuerdo suscrito por ambas mercantiles, siendo por tanto ambas RESPONSABLES DE FICHERO.

Resumiendo, indica la Resolución comentada que:

En este caso, consta documentado que en los ficheros de IBC JURIDICA se encuentran registrados los datos personales del denunciante, concretamente, los relativos a su nombre, apellidos, dirección, DNI y cuenta bancaria, que se encontraban asociados a un supuesto contrato de asistencia jurídica cuya contratación no ha sido acreditada por la entidad IBC JURIDICA y ha sido negada por el denunciante. Asimismo, consta que tales datos fueron utilizados para emitir un adeudo contra la cuenta bancaria del denunciante por un servicio de asesoramiento jurídico.

Así, el tratamiento de los datos del denunciante realizado por parte de IBC JURIDICA no se ajusta a lo establecido en la LOPD.

 

Y es sobre el responsable de fichero en quien recae la carga de probar que cuenta con el consentimiento del interesado para tratar sus datos, sucediendo en este caso que no se aportó prueba al respecto. Y por si fuera poco, además la empresa IBC JURÍDICA comunicó los datos del denunciante –sin consentimiento- a ANWALTSPANIEN, por lo que incurrió en una nueva infracción legal.

Esta última empresa es igualmente sancionada, ya que una vez que los datos le fueron comunicados, hizo tratamiento de los mismos, sin contar tampoco con consentimiento del denunciante.

Reincidentes LOPD

Hablemos una vez más de nuestro campeón favorito de multas sobre protección de datos.

Lo has imaginado, sí: me refiero a VODAFONE.

Dos multas de 50.000 euros son las sanciones más recientes que he encontrado de la referida compañía, como se puede leer en la Resolución de la Agencia Española de Protección de Datos nº 2469/2013, dictada en el procedimiento sancionador nº 325/2013.

Las multas son:

1ª. Una de 50.000 euros por infracción grave, al haberse vulnerado el artículo 6.1 LOPD.

2ª. Otra de 50.000 euros también por infracción grave, al haberse vulnerado el artículo 4.3 LOPD, en relación con el 29.4.

Es decir, se ha infringido el principio de consentimiento y el de calidad de los datos, notificándose los datos del denunciante a una lista de morosos indebidamente.

Otra vez, sí.

Resulta obvio, al menos para mí, que Vodafone no hace estas cosas por equivocación. Ni haciéndolo a conciencia, la peor de las organizaciones empresariales podría infringir de forma tan continua y reiterada estos preceptos. Qué duda cabe de que a Vodafone el tema le preocupa bien poco y en sus presupuestos anuales tendrán más que prevista la imposición de estas  sanciones y un buen seguro que las cubra.

En el supuesto que comentamos, VODAFONE contrató vía telefónica con un cliente, pero no dejó constancia mediante grabación ni otro medio de los términos pactados ni las condiciones en que se recogieron los datos de la persona en concreto.

Y aquí tenemos el tirón de orejas que recibe VODAFONE de la AEPD, diciéndole que se ha portado muy mal:

Es necesario destacar la grave falta de diligencia demostrada por la entidad denunciada que reconoce que dio de baja las líneas controvertidas en  febrero de 2011; que además existen reclamaciones ante la entidad en febrero y marzo de 2012 y por fax con fecha  13 de agosto de 2012 en el que el denunciante comunica a Vodafone la denuncia ante la Dirección General de Policía, en la que se indica que ha recibido la reclamación de unas deudas relativas a su nombre sin haber firmado, ni contratado con la compañía Vodafone. Además,  mantuvo el alta de los datos  personales del denunciante en los ficheros de solvencia patrimonial Asnef por deudas de  90,77 € y 374,91 € entre  el 12 de enero de 2012 y el 4 de agosto de 2012. Asimismo, incluyó los datos del denunciante en Badexcug por un importe de  90,77€ y 374,91 €entre  el 30 de enero de 2011 y el 5 de agosto de 2012 (hechos probados sexto y séptimo).

 

Y es que Vodafone no sólo vulneró el principio de consentimiento, sino que incluyó al denunciante en una lista de morosos, por una deuda incorrecta, que no era exigible, ni estaba vencida.

 

Y mis preguntas son: ¿Dos sanciones más a Vodafone? ¿Para qué? Es cuestión de días que vuelvan a hacer lo mismo y a ser sancionados.

¿Qué eficacia  tiene por tanto la normativa y la Agencia Española de Protección de Datos ante los infractores reincidentes?

 

Hoy por hoy, la respuesta es NINGUNA.