T.D.// 12 de septiembre de 2008

A pesar de existir un procedimiento de seguridad para la destrucción de la documentación con datos confidenciales de los clientes, éstos aparecieron en un vertedero público. La agencia española de protección de datos determinó que la responsabilidad era del banco y no de la empresa de limpieza entre cuyos servicios no se encontraba ninguna relacionada con el tratamiento de datos.

El BBVA ha sido condenado a una multa por parte de la Agencia Española de Protección de Datos por infracción al principio de seguridad de datos y el deber de confidencialidad consagrados en la ley reguladora de la protección de datos, por el tratamiento dado a los datos personales y financieros de sus clientes.

Denuncia

Aunque los hechos se hicieron de conocimiento público a través de la prensa fue una denuncia la que alertó sobre la presencia de documentación con datos personales y confidenciales de clientes de la entidad bancaria, en un vertedero de un polígono industrial. Iniciado el procedimiento de investigación se pudo comprobar que la empresa encargada de la limpieza de las oficinas había recogido una bolsa que contenía documentación, que en lugar de ser destruida por la empresa encargada de la documentación, fue recogida y depositada en el vertedero, incumplimiento el procedimiento de seguridad.

Según el procedimiento de seguridad establecido por el Banco, en las bolsas de basura no debe figurar documentación alguna, ya que la entidad ha habilitado una habitación destinada a albergar las basuras hasta su retirada por la empresa especializada en destrucción de la documentación, que es la que emite el correspondiente certificado de destrucción.

Responsabilidad

Aún cuando la empresa encargada de la limpieza asumió toda la responsabilidad por los hechos ocurridos, las alegaciones en torno a la exoneración por parte del banco no fue aceptada por la AEPD, toda vez que el contrato de prestación del servicio consistente en la limpieza de los edificios no contenía ninguna cláusula relativa al tratamiento de datos de carácter personal por parte de sus empleados.

La Administración ha entendido que en consecuencia siendo el BBVA el responsable del fichero origen de los datos personales recogidos en los documentos que fueron hallados en un vertedero público, es su responsabilidad adoptar todas las medidas de seguridad necesarias para que no produjera un acceso indebido a dichos datos por parte de terceros.

Agregando que en este caso se incumplió la normativa de seguridad de la entidad que obliga a la destrucción en la propia entidad de toda documentación que pudiera contener datos personales de los clientes y que prohíbe expresamente tirar documentación con datos a la basura, con lo que dichos documentos nunca debieron ser accesibles por el personal de la empresa de limpieza.

Obligación

El art. 9 de la LOPD establece el principio de seguridad de los datos imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que la garanticen aquélla, tales medidas tienen como finalidad evitar, entre otros aspectos, la gestión de los soportes que vayan a ser desechados.

Según el procedimiento incumplido, una vez generados documentos con datos personales y confidenciales de los, es obligatorio velar por su destrucción, de forma que dicha información no pueda ser accesible ni utilizada por terceras personas.

A pesar de establecerse internamente que quedaba prohibido de forma expresa tirar cualquier documentación legible con datos de clientes a la basura, en el caso n se cumplió y se vulneró el deber de confidencialidad de los datos de los clientes.

Sanción

El banco ha sido declarado responsable del fichero en el que constan los datos de sus clientes, así como de la custodia de la documentación referida a éstos y que apareció abandonada en vertedero existente en el Polígono, por lo que debe imputársele a ella la infracción cometida.

Se resolvió que habiendo existido una falta en la diligencia debida que le era exigible en las medidas de seguridad del BBVA, al poner a disposición de terceras personas la información concerniente a sus clientes, vulnerándose así la confidencialidad de dicha información, se considera que la citada entidad incurrió en la infracción grave prevista pro el art. 9 de la LOPD. Teniendo en consideración las circunstancias del caso y los criterios de graduación de las sanciones establecidos en el art. 45.4 de la ley, se impuso una multa en su cuantía mínima, es decir € 60.101,21, siendo la escala prevista en el art. 45.2 para la multa a imponer de 60.101,21 € a 300.506,05 €.