La AEPD sanciona con 2,5 millones de euros por falta de medidas reforzadas en envíos de documentos sobre operaciones financieras

La Agencia Española de Protección de Datos (AEPD) ha sancionado a un banco con 2,5 millones de euros por infringir los artículos 25 y 32 del Reglamento General de Protección de Datos (RGPD), por entender que no había aplicado medidas reforzadas para asegurar los principios de protección de datos, y la falta de las medidas técnicas y organizativas apropiadas para un nivel de seguridad en el envío de documentación financiera que la entidad solicitaba en cumplimiento de la normativa de prevención de blanqueo de capitales y financiación del terrorismo (PBCyFT).

Hechos

Origen de la reclamación

La reclamación se originó ante la autoridad de protección de datos de Baviera, y se transfirió a la autoridad española al tener la entidad reclamada su sede social y establecimiento principal en España (artículos 56 y 60 del RGPD).

Cuestión reclamada

El banco, Openbank, solicitó al reclamante que probara el origen de varias cantidades recibidas en su cuenta bancaria, en cumplimiento de la normativa de PBCyFT.

Según recoge la resolución de la AEPD, el cliente reclamante pidió a la entidad que le facilitara algún mecanismo para remitir dicha información de manera cifrada o de forma directa a través de su área personal en la página web, pero la entidad le contestó que el medio para enviar dicha documentación era por correo electrónico.

Ante la negativa de la entidad de poner a disposición del reclamante otro medio de envío de la documentación, el reclamante envió la información solicitada por correo electrónico, pese haber expresado su preocupación y reticencias por entender que dicho proceso no cumplía con las medidas exigidas por la normativa de protección de datos.

Fundamentos de la resolución

Tras el análisis por la AEPD de los hechos denunciados, así como de la documentación relativa a los análisis de los riesgos que el Banco había llevado a cabo sobre este tratamiento, considera que este hecho es motivo de incumplimiento de las siguientes infracciones de protección de datos:

Infracción del artículo 25 del RGPD

Considera la Agencia las siguientes cuestiones:

1. que existe una clara falta de diseño del tratamiento por Openbank, dado que «no se había incluido la actividad de recogida de datos de los clientes en el denominado “ciclo de vida del tratamiento” de la evaluación de impacto de protección de datos. Por ello, al no preverse siquiera esta actividad, no se han tomado las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos (entre otros, la confidencialidad) y cumplir los requisitos del RGPD y proteger los derechos de los interesados»;
2. que, durante el proceso, la entidad presentó dos evaluaciones de impacto: en agosto de 2021 y en octubre de 2022;
3. que, a pesar de que se habían definido unos protocolos para tratar los datos requeridos por la normativa de PBCyFT, no se implementaron correctamente (de hecho, hasta octubre de 2022, los clientes no podían aportar la documentación en el área privada de la web).

La AEPD recuerda que, para cumplir con el artículo 25 del RGPD, no basta con contar con los documentos de protocolo, sino que deben implementarse adecuadamente las medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos y requisitos del RGPD y, aún menos, si en la práctica no se proporcionan tales medidas.

Infracción del artículo 32 del RGPD

Sobre este apartado, la AEPD:

• considera que el correo electrónico no es un medio adecuado ni seguro para requerir determinada documentación o ciertos datos a los clientes, por los riesgos que entrañan para los derechos y libertades de los interesados:
  • aun así, pese a las advertencias y preocupaciones del reclamante, este tuvo que utilizar ese medio al no darse ninguna otra alternativa más segura por la entidad;
• entiende que los datos personales relacionados con el origen de los ingresos de las cuentas bancarias de los clientes requieren una especial protección debido al mayor riesgo que implican para los derechos y libertades de las personas físicas, pues «permiten determinar la situación financiera o la solvencia patrimonial de una persona».

A juicio de la AEPD, esto implica que Openbank debió implantar medidas técnicas y organizativas para alcanzar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los afectados, como un mecanismo de cifrado o la carga directa en el portal web.

Principios del derecho penal alegados

La entidad también alegó:

• la existencia de concurso medial, y
• la vulneración del principio del derecho de no ser procesado ni sancionado dos veces por los mismos hechos (principio conocido como non bis in idem).

La AEPD, ante estas alegaciones, considera:

1. que no ha vulnerado dicho principio, puesto que las infracciones de los artículos 25 y 32 del RGPD están tipificadas de manera diferenciada al vulnerar preceptos distintos que protegen bienes jurídicos diferentes.
   • Detalla que la infracción del artículo 25 resulta de no haber realizado una adecuada gestión del cumplimiento normativo, mientras que la del artículo 32 se deriva de la ausencia y deficiencia de las medidas de seguridad detectadas, con independencia de la petición de la parte reclamante;
2. que, por tanto, se han cometido dos infracciones distintas, sin que la conculcación del artículo 25 sea el medio necesario para producir la infracción del artículo 32.

Resolución

En conclusión, la AEPD resolvió imponiendo dos multas:

1. Una de 1,5 millones de euros por infracción del artículo 25 del RGPD, por el incumplimiento del principio de privacidad desde el diseño y porque no se preveía en el ciclo de vida del tratamiento de esos datos ni en la evaluación de impacto, al no identificarse y evaluarse los riesgos.
2. Otra de 1 millón de euros por infracción del artículo 32 del RGPD, por falta de medidas de seguridad en los medios ofrecidos para que los clientes pudieran remitir documentación financiera.

Consideró también agravantes por naturaleza (entidad de un grupo financiero muy relevante en el sector), gravedad, duración de la infracción, intencionalidad o negligencia, categoría de los datos afectados (posibilidad de que se haya afectado dos millones de clientes) y, por último, la vinculación directa de la actividad de la entidad con el propio tratamiento de datos.