La Agencia Española de Protección de Datos (AEPD) ha sancionado a una entidad bancaria con 70.000 euros por una infracción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) al no salvaguardar adecuadamente la privacidad de un cliente, puesto que la entidad bancaria hizo constar la dirección postal completa del ordenante en un justificante de transferencia, al que accedió el beneficiario de dicha operación.
Esta resolución deriva de una reclamación presentada ante la AEPD por un usuario que, en mayo de 2023, efectuó una transferencia a través de la banca digital y tras unos días, el beneficiario le remitió el justificante de la operación, donde el reclamante descubrió que figuraban no sólo su nombre y apellidos, sino también su domicilio completo. El documento bancario en cuestión incluía múltiples datos personales como el importe, fechas, número de cuenta, y especialmente un apartado que contenía la dirección exacta del ordenante.
Según la Agencia Española de Protección de Datos, se concluye que la entidad bancaria incurrió en un tratamiento indebido de datos personales al facilitar información sensible a un tercero sin justificación legal ni consentimiento del titular. El organismo recuerda que la dirección postal, al tratarse de un dato identificativo, debe ser objeto de especial protección conforme al artículo 5.1.f) del RGPD, que exige asegurar su confidencialidad e impedir accesos no autorizados. Con lo cual, la entidad debió haber evitado incluir la dirección del ordenante, ya que no existía obligación normativa de hacerlo, puesto que esto sería exigible sólo en las operaciones con países fuera del Espacio Económico Europeo.
Además, se constató que el cliente no había introducido de forma activa su dirección durante la operación, ni la entidad exigía dicho dato para realizar transferencias desde su plataforma digital.
La conducta de la entidad se tradujo, según la AEPD, en un incumplimiento del deber de confidencialidad que recae sobre los responsables del tratamiento de datos personales, habiendo vulnerado los artículos 5 y 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
De conformidad con el pago voluntario y el reconocimiento de responsabilidad, y según lo dispuesto en el artículo 85 de la Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), en el acuerdo de inicio notificado se informaba sobre la posibilidad de reconocer la responsabilidad y de realizar el pago voluntario de la sanción propuesta, lo que supondría dos reducciones acumulables de un 20% cada una.
Con la aplicación de estas dos reducciones, la sanción quedaría establecida en 42.000,00 euros y su pago implicaría la terminación del procedimiento, sin perjuicio de la imposición de las medidas correspondientes. Tras la notificación del citado acuerdo de inicio, la entidad bancaria ha procedido al reconocimiento de la responsabilidad y al pago voluntario de la sanción, acogiéndose a las dos reducciones previstas.
Documentos relacionados
Prácticos
- Sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos. Práctico Protección de Datos de Carácter Personal y Garantía de Derechos Digitales. Junio 2025. Escrito por Alberto Palomar y Javier Fuertes. Magistrado de lo contencioso-administrativo, Magistrado
Legislación
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales
- Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
