La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 200.000 euros al BBVA por firmar, sin consentimiento, la política de protección de datos en nombre de sus clientes. Este caso se originó cuando un matrimonio descubrió que su consentimiento para el tratamiento de datos personales con fines comerciales había sido otorgado sin su autorización, mediante firmas falsificadas en documentos bancarios. Al acudir a una sucursal para aclarar la situación, un empleado admitió que esta práctica era común para “agilizar los trámites”.
La AEPD determinó que esta acción constituye un tratamiento ilícito de datos personales, vulnerando el principio de licitud establecido en el artículo 6.1 del Reglamento General de Protección de Datos (RGPD). Aunque el BBVA argumentó que se trataba de un “hecho aislado”, la Agencia consideró que la entidad reconocía la ausencia de una base legítima para el tratamiento de datos personales en este caso.
Este incidente resalta la importancia de que las instituciones financieras obtengan el consentimiento explícito y verificable de sus clientes antes de tratar sus datos personales, especialmente con fines comerciales. Además, subraya la necesidad de que las entidades refuercen sus protocolos internos para garantizar el cumplimiento de la normativa de protección de datos y evitar prácticas que puedan comprometer la confianza de los clientes.
Para los profesionales del derecho y la protección de datos, este caso sirve como recordatorio de la relevancia de asesorar adecuadamente a las empresas sobre las obligaciones legales en materia de tratamiento de datos y la implementación de medidas efectivas para prevenir infracciones que puedan derivar en sanciones significativas y daños reputacionales.
