El 1 de julio de 2025, la Agencia Española de Protección de Datos (AEPD) sancionó a Ibercaja Banco con una multa de 70.000 euros por vulnerar el Reglamento General de Protección de Datos (RGPD). El motivo: la inclusión injustificada de la dirección postal completa de un cliente en el justificante de una transferencia bancaria realizada a través de su plataforma digital. Este caso evidencia la importancia de aplicar estrictamente los principios de minimización y confidencialidad de los datos personales, incluso en procedimientos automatizados aparentemente rutinarios.
El caso: ¿qué ocurrió?
Un cliente de Ibercaja realizó una transferencia nacional desde su cuenta bancaria. El beneficiario, perteneciente a otra entidad, recibió el justificante de dicha operación y lo reenvió al ordenante. En ese documento aparecían no solo los datos esenciales de la transferencia (nombre, IBAN, importe, concepto, fecha), sino también la dirección postal completa del remitente: calle, número, piso, letra, código postal y ciudad. Al no haber facilitado ese dato expresamente ni resultar necesario para la operación, el cliente afectado presentó una reclamación ante la AEPD.
La dirección postal como dato personal
De conformidad con el artículo 4.1 del RGPD, cualquier información que permita identificar directa o indirectamente a una persona física constituye un dato personal. La dirección postal, cuando se refiere a una persona identificada, entra de lleno en esta categoría. Además, el artículo 5.1.f) impone al responsable del tratamiento el deber de garantizar la seguridad e integridad de los datos personales, incluyendo su protección frente a divulgaciones no autorizadas.
¿Era necesario incluir la dirección?
Según la AEPD, no. La normativa SEPA (Single Euro Payments Area) únicamente exige que se incluya la dirección del ordenante cuando el proveedor de servicios de pago (PSP) del ordenante o del beneficiario está situado fuera del Espacio Económico Europeo (EEE), lo que no se cumplía en este caso. Por tanto, la inclusión de la dirección en el justificante emitido por Ibercaja carecía de base jurídica suficiente y contravenía el principio de minimización de datos del artículo 5.1.c) del RGPD.
Responsabilidad de Ibercaja y fundamento de la sanción
Ibercaja actuó como responsable del tratamiento (art. 4.7 RGPD), pues determinó el contenido del justificante emitido automáticamente por su sistema. Al incorporar datos innecesarios sin consentimiento ni obligación legal, vulneró los principios de minimización y confidencialidad. La AEPD consideró que se trataba de una infracción grave, no solo por el tratamiento indebido, sino por la difusión del dato a un tercero no autorizado (el beneficiario de la transferencia). En consecuencia, impuso una sanción de 70.000 euros, atendiendo al carácter personal del dato revelado, su innecesariedad y la potencial afectación a la intimidad del reclamante.
Lecciones para entidades y profesionales
Este caso deja varias enseñanzas importantes. En primer lugar, recuerda que los tratamientos automatizados deben ser sometidos a revisiones periódicas, especialmente cuando generan documentos o comunicaciones que puedan contener datos personales. La automatización no exime del cumplimiento del RGPD. En segundo lugar, es necesario revisar qué datos se incluyen en los justificantes o comunicaciones bancarias, limitándolos estrictamente a los imprescindibles. Finalmente, este supuesto demuestra que el incumplimiento de principios tan básicos como la confidencialidad y la minimización puede acarrear consecuencias económicas relevantes y un daño reputacional para la entidad sancionada.
Conclusión
La resolución contra Ibercaja pone de manifiesto que la protección de los datos personales no se limita a grandes filtraciones o ciberataques. Las pequeñas negligencias en el diseño de los sistemas también generan responsabilidades. En un entorno financiero cada vez más automatizado, las entidades deben reforzar sus sistemas de control y adecuar sus procesos a los principios del RGPD, garantizando que solo los datos estrictamente necesarios sean tratados y comunicados.
