Protección de Datos, otra gran agencia española.
Multa de 70.000 euros a un banco por exponer la dirección de un cliente en el justificante de una transferencia.
La Agencia Española de Protección de Datos concluye que la entidad financiera vulneró el reglamento al no garantizar debidamente la confidencialidad de los datos de carácter personal.
Hizo una transferencia desde la banca digital que tiene con la entidad bancaria Ibercaja a favor de un cliente de otra entidad. Posteriormente, la persona que recibió la transferencia le envió un justificante para que supiera que le había llegado correctamente. Sin embargo, afirmó que en dicho justificante aparecían los datos de su domicilio particular. Sintió que se había traspasado una línea roja al quedar expuestos datos personales.
Por eso, interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD), que ahora ha resuelto sancionar a Ibercaja Banco S. A. con 70.000 euros por el tratamiento ilícito de esta información privada: facilitó al beneficiario de la transferencia la dirección completa de su cliente en el justificante de la misma.
Tras dar traslado a Ibercaja de la reclamación y ante una posible vulneración de los artículos 5 y 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, se aportó copia del justificante bancario en el que constaba, bajo el concepto de transferencia a su favor, el importe de dicha transferencia junto con la fecha y hora, fecha valor, número de cuenta, nombre y apellidos del remitente (parte reclamante), concepto de la transferencia, beneficiario (nombre y primer apellido) y un apartado denominado 'ampliación remitente de la transferencia', en el que figura el domicilio postal de la parte reclamante (calle, número, piso, letra, código postal y ciudad).
En su escrito de respuesta a la Agencia Española de Protección de Datos (AEPD), Ibercaja argumentó que el documento que el reclamante aportó «no ha sido generado ni confeccionado por Ibercaja, ni tampoco ha sido remitido por esa entidad», recoge la resolución consultada por este periódico.
Sin embargo, la AEPD asegura que ese tipo de información, así como cualquier otra información que se encuentre referida a personas físicas, tienen la consideración de dato de carácter personal, por lo que su tratamiento está sujeto a la normativa de protección de datos. «Por tanto, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que Ibercaja Banco, S.A. realiza, entre otros tratamientos, la recogida, registro, conservación, modificación, consulta, utilización, comunicación por transmisión de datos personales de personas físicas, como por ejemplo, el IBAN de la cuenta del ordenante, nombre y dirección del ordenante, el IBAN de la cuenta del beneficiario y el nombre del beneficiario».
Abunda en su argumento y subraya que la entidad financiera realiza esta actividad en su condición de responsable del tratamiento, «dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD».
Sin embargo, al haber compartido el domicilio postal del cliente al beneficiario en el justificante de la transferencia, «la entidad bancaria vulneró el artículo 5.1. f del Reglamento General de Protección de Datos (RGPD), principios relativos al tratamiento, al no haber garantizado debidamente la confidencialidad de los datos de carácter personal», señala la AEPD, pues el deber de confidencialidad «debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos».
Asimismo, subraya que no consta que el cliente hubiera facilitado su dirección al ordenar la transferencia a través de Ibercaja. Además de que la entidad bancaria no exige que sus clientes cumplimenten su dato personal relativo a la dirección postal de sus domicilios cuando realizan transferencias.
Desde Protección de Datos, aclaran que la dirección del ordenante solo es obligatoria cuando el «PSP SEPA» del ordenante o el beneficiario esté localizado en un país fuera del EEE (Espacio Económico Europeo). En este supuesto, no se daba esa circunstancia, por tanto «la dirección particular del reclamante ha quedado indebidamente expuesta», afirma la AEPD.
La Agencia Española de Protección de Datos concluye que la entidad financiera vulneró el reglamento al no garantizar debidamente la confidencialidad de los datos de carác
www.diariosur.es
