El BBVA ha sido sancionado en 5 millones de euros en dos sanciones, por no cumplir con 3 artículos del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
La primera, de 3 millones de euros, por no cumplir el artículo 6 del RGPD, no obtenía correctamente el consentimiento de sus clientes.
Leer artículo 6 del RGPD (Pág. 36)
La segunda, de 2 millones de euros, por los datos obtenidos de los interesados, para vulnerar los artículos 13 y 14 del RGPD.
Leer artículo 13 i 14 del RGPD (Pág. 40 i 41)
El BBVA utilizó el interés legítimo “para elaborar perfiles publicitarios, extraer información basada en como los usuarios se relacionan con la entidad y operaciones que se realizan para recibir productos adecuados a sus necesidades”. En referencia a esto, la AEPD alega que el que está diciendo el banco su las finalidades para tratar los datos, pero no es un interés.
La Agencia Española de Protección de Datos (AEPD) ha impuesto unas medidas correctoras en referencia al consentimiento del cliente y al deber de informar, porque el BBVA las pueda implantar en su sistema de Protección de Datos en 6 meses.
Según la AEPD, la política de privacidad del BBVA no era clara, tampoco estaba recogiendo bien los consentimientos y las bases legítimas que se estaban utilizando por determinados tratamientos no eran las correctas.
Las sanciones impuestas por la AEPD anteriormente no tenían una cuantía tanto elevada, pero recordamos que con el RGPD pueden llegar a 20 millones de euros o el 4% del volumen global anual de negocio de las empresas.
Esta sanción se puede recorrer, a pesar de que es previsible que no sea anulada en un contencioso–administrativo, pero sí que se pueda reducir considerablemente el importe.
En conclusión, esta sanción es la más alta nunca impuesta y este hecho no será aislado. Es por eso que las empresas tienen que extremar las precauciones al máximo.