PRIMERO: Con fecha 15 de julio de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:
«
Expediente N.o: EXP202104493
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos y en base a los siguientes
HECHOS
PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 30/09/2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra BANCO BILBAO VIZCAYA ARGENTARIA, S.A. con NIF A48265169 (en adelante, la reclamada). Los motivos en que basa la reclamación son los siguientes: el reclamante manifiesta que el Departamento de Herederos de la reclamada le remitió un certificado de movimientos de una cuenta bancaria, en el que se indicaba que para solicitar aclaraciones respecto a los citados movimientos, debía contactar con la oficina sita en la ***DIRECCION.1; que el 05/06/2021, solicita a la entidad reclamada que le faciliten los datos de contacto de dicha oficina, derivándole a un teléfono de atención telefónica en el que le indican que no pueden facilitar la información requerida por dicha vía, instándole nuevamente a solicitarlo (vía e-mail) al departamento de atención al cliente, el cual, en fecha 12/07/2021, le requiere la aportación de copia de su DNI para poder tramitar su consulta. El 25/08/2021, la reclamante pone los hechos en conocimiento del Delegado de Protección de Datos, pues considera que es desproporcionado el requerimiento de copia de su DNI para conocer los datos de contacto de una sucursal bancaria, así como el no indicar el tratamiento que se va a realizar de dicho dato, recibiendo respuesta el 15/09/2021, indicando que no pueden pronunciarse sobre una cuestión tan general, debiendo haber preguntado al departamento que le requirió la aportación de su DNI cuál era la finalidad y, por otro lado, indican que han remitido su solicitud al Servicio de Atención al Cliente para que le faciliten la información requerida.
Aporta intercambio de e-mails con los distintos departamentos.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en adelante LOPDGDD (LA LEY 19303/2018)), el 15/11/2021 se dio traslado de dicha reclamación a la parte reclamada de conformidad con lo señalado en la LPACAP (LA LEY 15010/2015), para que procediese a su análisis e informase a esta Agencia en el plazo de un mes de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El reclamado no dio respuesta al requerimiento efectuado.
TERCERO: Con fecha 30/12/2021 la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por la parte reclamante.
CUARTO: El 22/04/2022 el reclamado contesto de manera extemporánea a la solicitud de información de 17/11/2021 manifestando que el 24/03/2022 el Servicio de Atención al Cliente (en adelante, "SAC") comunicó por escrito a la reclamante la decisión acordada. Dicha comunicación se envió a la dirección de correo electrónico que consta en el traslado de reclamación que nos ha hecho llegar esta Agencia, esto es, ***EMAIL.1.
Indica que en cumplimiento de la Orden ECO/734/2004 (LA LEY 502/2004), que regula los departamentos de Atención al Cliente y el Defensor del Cliente de las entidades financieras, el Consejo de Administración del Grupo BBVA aprobó con fecha 23/07/2004 el Reglamento para la Defensa del Cliente en España del Grupo BBVA, siendo modificada por última vez el 02/10/2009.
Este reglamento en su capítulo 2, artículo 12, establece la forma, lugar y plazo de presentación de quejas y reclamaciones y en concreto exige la identificación y firma de los titulares, y en su caso, de la persona que los representa, debidamente acreditada.
En relación con la solicitud de documento de identificación, relacionada con el tratamiento de sus datos por parte del reclamado, y con el fin de poder atender correctamente la petición, es debido al cumplimiento obligatorio de responsabilidad proactiva establecido en el artículo 5.2 del Reglamento (UE) 679/2016 (LA LEY 6637/2016) del Parlamento y del Consejo General de Protección de Datos.
En cuanto a la solicitud de los datos de contacto de la oficina 6252 sita en la ***DIRECCION.1, el reclamado manifiesta que se trata de un edificio donde se encuentra una delegación del Banco que no pertenece a la Red comercial de oficinas de BBVA, no pudiendo por tanto atender su petición de información.
Previamente el 14/07/2021 y según correo que se acompaña con el escrito de reclamación, el departamento de Atención a Herederos le indica que la vía de contacto es a través del Buzón.
Asimismo, en escrito de 25/04/2022 señala que considera necesario complementar el relato de los hechos anteriores y aportar documentación adicional que se ha obtenido tras el análisis de lo ocurrido.
Se acompaña comunicación a la que la reclamante hace referencia, realizada desde el Departamento de Atención a Herederos, y que adjunta a este escrito.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47 (LA LEY 19303/2018), 48.1 (LA LEY 19303/2018), 64.2 (LA LEY 19303/2018) y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en adelante, LOPDGDD (LA LEY 19303/2018)), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD (LA LEY 19303/2018) determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679 (LA LEY 6637/2016), en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Los hechos denunciados se concretan en el requerimiento de la aportación de copia del DNI para para conseguir datos de contacto de la oficina bancaria a fin de tramitar una consulta relativa a movimientos de cuenta, considerando que tal medida es desproporcionada.
El artículo 58 del RGPD (LA LEY 6637/2016), Poderes, señala:
"2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(...) i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
(...)"
El artículo 5, Principios relativos al tratamiento, del RGPD establece que:
"1. Los datos personales serán: (...) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
(...)"
III
La documentación obrante en el expediente ofrece indicios evidentes de que
BBVA vulneró el artículo 5 del RGPD (LA LEY 6637/2016), principios relativos al tratamiento, al requerir al reclamante, con el fin de atender su petición copia del documento nacional de identidaD.
El artículo 5 del RGPD (LA LEY 6637/2016) se refiere a los principios generales para el tratamiento de datos. En su apartado c) se hace referencia al principio de minimización de datos, indicando que los datos han de ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados".
Si examinamos la definición podemos deducir que solo se pueden recabar los datos personales que se vayan a tratar, es decir, los que sean estrictamente necesarios para el tratamiento; que solo podrán ser recogidos cuando vayan a ser tratados y que solo podrán ser utilizados para la finalidad con la que fue recogida, pero no con ningún otro objetivo, considerándose excesivo requerir al reclamante copia del DNI a los solos efectos de poder obtener datos de contacto de una oficina del banco.
También el Considerando 39 señala que: "...Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados".
IV
La infracción que se le atribuye a la reclamada se encuentra tipificada en el artículo 83.5 a) del RGPD (LA LEY 6637/2016), que considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, "con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".
La LOPDGDD en su artículo 71 (LA LEY 19303/2018), Infracciones, señala que: "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), así como las que resulten contrarias a la presente ley orgánica". Y en su artículo 72, considera a efectos de prescripción, que son: "Infracciones consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...) a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).
(...)
V
A fin de establecer la multa administrativa que procede imponer han de observarse las previsiones contenidas en los artículos 83.1 (LA LEY 6637/2016) y 83.2 del RGPD (LA LEY 6637/2016), que señalan:
"1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción".
En relación con la letra k) del artículo 83.2 del RGPD (LA LEY 6637/2016), la LOPDGDD, en su artículo 76 (LA LEY 19303/2018), "Sanciones y medidas correctivas", establece que:
"2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
datos.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado."
De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a imponer en el presente caso por la infracción tipificada en el artículo 83.5 del RGPD de la que se responsabiliza al reclamado, en una valoración inicial, se estiman se estiman concurrentes los siguientes factores:
Como circunstancias agravantes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate; los hechos puestos de manifiesto afectan a un principio básico relativo al tratamiento de los datos de carácter personal, como es el de minimización de datos, que la norma sanciona con la mayor gravedad; por otra parte, se cuestiona la gestión y propósito del tratamiento llevado a cabo (artículo 83.2, a) del RGPD (LA LEY 6637/2016)).
- La actividad de la entidad presuntamente infractora está vinculada con el tratamiento de datos tanto de clientes como de terceros. En la actividad de la entidad reclamada es imprescindible el tratamiento de datos de carácter personal de sus clientes por lo que, dado volumen de negocio de la misma la transcendencia de la conducta objeto de la presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD (LA LEY 19303/2018) en relación con el artículo 83.2.k).
- La intencionalidad o negligencia en la infracción puesto que el reclamado era plenamente consciente del procedimiento implantado. Conectada también con el grado de diligencia que el responsable del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos puede citarse la SAN de 17/10/2007. Si bien fue dictada antes de la vigencia del RGPD su pronunciamiento es perfectamente extrapolable al supuesto que analizamos. La sentencia, después de aludir a que las entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros han de observar un adecuado nivel de diligencia, precisaba que "(...).el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto" (artículo 83.2, b) del RGPD (LA LEY 6637/2016)).
Como circunstancias atenuantes:
- Se ha visto afectada una sola persona (artículo 83.2.a) del RGPD (LA LEY 6637/2016)).
VI
Los poderes correctivos que el RGPD atribuye a la AEPD como autoridad de control se relacionan en su artículo 58.2, apartados a) a j). Entre otros, menciona, en el apartado i), imponer una multa administrativa conforme al artículo 83 del RGPD (LA LEY 6637/2016); en el apartado d), ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un plazo especificado y en el apartado g), ordenar la supresión de los datos personales con arreglo a los artículos 16,17 y 18.
El artículo 83.5. del RGPD (LA LEY 6637/2016) fija una sanción de multa administrativa (artículo 58.2.i) para las conductas que en él se tipifican, sin perjuicio de que, como dispone el artículo 83.2. del RGPD (LA LEY 6637/2016), las multas administrativas puedan imponerse juntamente con otras medidas correctivas previstas en el artículo 58.2 del RGPD (LA LEY 6637/2016).
De confirmarse la infracción, podría acordarse imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD (LA LEY 6637/2016), según el cual cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...".
En tal caso, en la resolución que se adopte, esta Agencia podrá requerir al responsable para que en el plazo que se determine:
- Acredite haber procedido a no solicitar una fotocopia del DNI a los clientes que soliciten datos de contacto de una oficina para pedir aclaraciones sobre movimientos bancarios, como si se tratase del procedimiento para quejas y reclamaciones, al tratarse de datos excesivos.
Se advierte que no atender a los requerimientos de este organismo puede ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, a tenor de lo anteriormente expuesto,
Por la Directora de la Agencia Española de Protección de Datos, SE ACUERDA:
PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a BANCO BILBAO VIZCAYA ARGENTARIA, S.A. con NIF A48265169, por la presunta infracción del 5.1.c), tipificada en el artículo 83.5.a) del RGPD (LA LEY 6637/2016).
SEGUNDO: NOMBRAR Instructor a R.R.R. y Secretaria a S.S.S., indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido en los artículos 23 (LA LEY 15011/2015) y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) (LA LEY 15011/2015).
TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la denuncia interpuesta por la denunciante y su documentación, los documentos obtenidos y generados por los Servicios de Inspección durante la fase de investigación previa, documentos todos ellos que integran el expediente.
CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (LPACAP (LA LEY 15010/2015)), y art. 127 letra b) del RLOPD (LA LEY 13934/2007), la sanción que pudiera corresponder por cada una de las infracciones descritas sería de 70.000 euros (setenta mil euros), sin perjuicio de lo que resulte de la instrucción.
QUINTO: NOTIFICAR el presente acuerdo a BANCO BILBAO VIZCAYA ARGENTARIA, S.A. con NIF A48265169, otorgándole un plazo de audiencia de diez días hábiles para que formule las alegaciones y presente las pruebas que considere convenientes. En su escrito de alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el encabezamiento de este documento Asimismo, de conformidad con los artículos 64.2.f) (LA LEY 15010/2015) y 85 de la LPACAP (LA LEY 15010/2015), se le informa de que, si no efectuara alegaciones en plazo a este acuerdo de inicio, el mismo podrá ser considerado propuesta de resolución.
También se le informa de que, de conformidad con lo dispuesto en el artículo 85.1 LPACAP (LA LEY 15010/2015), podrá reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio lo que llevará aparejada una reducción de un 20% de la sanción total que proceda imponer en el presente procedimiento, equivalente en este caso a 14.000 euros. Con la aplicación de esta reducción, la sanción quedaría establecida en 56.000 euros, resolviéndose el procedimiento con la imposición de esta sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente procedimiento, llevar a cabo el pago voluntario de la sanción total propuesta, de conformidad con lo establecido en el artículo 85.2 LPACAP (LA LEY 15010/2015), lo que supondrá una reducción de un 20% del importe de la misma, equivalente en este caso a 14.000 euros. Con la aplicación de esta reducción, la sanción total quedaría establecida en 56.000 euros y su pago implicará la terminación del procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En este caso, si procediera aplicar ambas reducciones, el importe de la sanción total quedaría establecido en 42.000 euros.
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades señaladas anteriormente (56.000 euros o 42.000 euros), de acuerdo con lo previsto en el artículo 85.2 referido, le indicamos que deberá hacerla efectiva mediante su ingreso en la cuenta restringida noES00 0000 0000 0000 0000 0000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A., indicando en el concepto el número de referencia del procedimiento que figura en el encabezamiento de este documento y la causa de reducción del importe a la que se acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de Inspección para continuar con el procedimiento en concordancia con la cantidad ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD (LA LEY 19303/2018).
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la
LPACAP (LA LEY 15010/2015), contra el presente acto no cabe recurso administrativo alguno.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
»