Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00388-2022 de 04 de julio de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 59 min
Órgano: Agencia Española de Protección de Datos
Fecha: 04/07/2023
Num. Resolución: PS-00388-2022
Cuestión
1 / 23Expediente N.º: PS/00388/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 01/06/2021 interpuso...
Contestacion
1/23
? Expediente N.º: PS/00388/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 01/06/2021 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra CAIXABANK S.A. con NIF A08663619 (en adelante, la parte reclamada).
Los motivos en que basa la reclamación son los siguientes: que desde el 11/02/2021,
ha solicitado en varias ocasiones a la entidad reclamada información acerca de una
cuenta de su hija menor, de la que tiene la guarda y custodia exclusiva, figurando en
dicha cuenta como representantes legales el padre y la madre de la menor. Manifiesta
que, tras recibir respuesta indicando que no podían facilitar dicha información a una
dirección de correo electrónico que no constaba registrada en su base de datos, en
fecha 25/02/2021 llama a la entidad reclamada reiterando su solicitud de información y
la operadora le indica que dicha información se encuentra bloqueada, si bien remite un
e-mail al departamento de coordinación para que contacten con la reclamante y le
ofrezcan más información al respecto. Ese mismo día recibe una llamada del director
de una oficina distinta para facilitarle información acerca de otra de sus hijas, por lo
que la reclamante le transmite el error y le indica que, además, no se había
identificado previamente con su DNI. Finalmente, el citado director le confirma que la
cuenta de la hija por la que, sí preguntaba, se encontraba cancelada y que debía
acudir a la oficina correspondiente para obtener más información. En fecha 26/02/2021
acude a dicha oficina, en la que trabaja el padre de la menor y del que se encuentra en
trámites de divorcio y, tras varias reticencias finalmente le indican que la cuenta fue
cancelada por el padre de la menor y que se realizó un traspaso a una de las cuentas
de este. En fecha 03/03/2021, solicita acceso a determinada documentación relativa a
la cuenta, así como a las grabaciones de las llamadas realizadas sobre dicho asunto al
SAC, sin que se le hayan facilitado las grabaciones. Asimismo, presenta varias
reclamaciones (en fecha 23, 24 y 31/03/2021) mostrando su desacuerdo por la
cancelación de la cuenta de su hija, constando solo la firma del padre para ello, así
como por la obstaculización a la hora de solicitar información, sin que haya recibido
respuesta.
Aporta la siguiente documentación:
- DNI de la hija menor de la reclamante
- Copia de diversos correos electrónicos entre el 11 y 23/02/2021 solicitando de
información sobre la cuenta bancaria cancelada dirigido a la directora de la sucursal de
BANKIA, S.A. en donde se había abierto esta cuenta.
- Copia del correo electrónico del abogado del reclamante enviado a la directora de la
sucursal de BANKIA, S.A. en donde se había abierto esta cuenta solicitando diversa
información entre la que se encuentra las grabaciones de la reclamante con fecha de
25/02/2021. Consta en este documento que la información solicitada ha sido facilitada
por la entidad a excepción de las grabaciones.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/23
- Copia del correo electrónico con fecha de 23/04/2021 con reclamación dirigido a
BANKIA, S.A.
- Renvío de copia del correo electrónico anterior a la entidad CAIXABANK, S.A. tras la
fusión por adquisición de BANKIA, S.A. por CAIXABANK, S.A.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), el 01/07/2021 se dio traslado de dicha reclamación a la parte
reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo
de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos
en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 01/07/2021 como consta en el
acuse de recibo que obra en el expediente.
El 30/07/2021 se recibe en esta Agencia escrito de la reclamada manifestando que en
la cuenta bancaria en cuestión figuraba como titular la hija de la reclamante, menor de
edad, figurando como autorizados en la misma, en su condición de padres de la menor
sus progenitores.
En lo que respecta a la grabación de las llamadas se puso a disposición de la
reclamante a través de la oficina si así lo desea una transcripción de las mismas.
Respecto al hecho de recibir una llamada de la oficina ***OFICINA.1 de CaixaBank
para informarle sobre otra de sus hijas menores, de la que no había solicitado en
ningún momento información, se trató de un error involuntario del operador del servicio
de atención telefónico al cliente, quien derivó la instrucción a la oficina donde está
abierta una cuenta a nombre de otra de sus hijas. Consta el correo remitido por el
operador a la oficina ***OFICINA.1 en el que solicita a esta oficina se ponga en
contacto con la reclamante con relación a la cuenta abierta a nombre de su otra hija
siendo el interés de la cliente información relativa a la cuenta abierta a nombre de la
hija menor.
El error en todo caso es involuntario y no supone ningún tipo de cesión de datos a
terceros además de que el receptor de la información, la reclamante, tiene derecho a
la información en su condición de madre como representante legal. En ningún caso se
ha causado perjuicio al afectado.
Con posterioridad a la respuesta al traslado de la reclamación vuelve a pedir las
grabaciones y no se las facilitan. Según ella las grabaciones demuestran que ella
nunca se identificó con su DNI sino con el de su hija titular de la cuenta en
controversia. Sospecha que recibida en el banco la petición de información sobre la
cuenta de su hija (y que ha sido cancelada por el padre del que está en trámite de
divorcio) se trata de ocultar esta información dándole la información de la cuenta de la
otra hija (que atribuyen a un error)
TERCERO: Con fecha 25/10/2021, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/23
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:
Se confirma, según el DNI, que la hija de la reclamante y cuya cuenta fue cancelada
únicamente por uno de los progenitores, es menor de 14 años.
Respecto al acceso a la información solicitada por la reclamante a la entidad, esta fue
facilitada a excepción de las grabaciones, sobre las que la parte reclamada informó a
la reclamante que la ponían a su disposición en la oficina ***OFICINA.2 de BANKIA,
S.A., en la ***DIRECCION.1, ***LOCALIDAD.1, en la cual se encontraba la cuenta
corriente de la menor, según contestación del Servicio de Atención al Cliente (en
adelante, SAC) que figura en la documentación presentada por la parte reclamada. No
existe constancia de que la reclamante se haya presentado en esta oficina para su
recogida.
Solicitada a la parte reclamada las copias de las grabaciones de las llamadas
telefónicas realizadas por la reclamante al SAC, con fecha de 16/03/2022 y números
de registro REGAGE22e00007574995, REGAGE22e00007575005,
REGAGE22e00007575017, REGAGE22e00007575028 y REGAGE22e00007843841
escrito de contestación remitido por la parte reclamada presentando las grabaciones
solicitadas.
Una vez analizadas las grabaciones se desprenden las siguientes conclusiones:
- Llamada del 25/02/2021 a las 10:27h: Se verifica que en la primera llamada a
atención al cliente la reclamante solo facilitó el DNI de su hija menor. La cuenta
bancaria de esta hija estaba bloqueada por lo que la agente de atención al cliente
no pudo acceder a los datos de esta cuenta. El agente indica que remitirá la
incidencia a ?coordinación? mediante correo electrónico y que recibiría una
llamada con la información que puedan facilitarle.
- Llamada del 25/02/2021 a las 12:38h: En la segunda grabación, la reclamante
manifiesta que le han llamado del SAC (una hora después de la llamada del
párrafo anterior) para informarle, incomprensiblemente, sobre los datos de su hija
mayor. Respecto al acceso a los datos de la cuenta de su hija menor, se constata
que la cuenta ya no existe y los datos de carácter personal relativos a esta cuenta
están bloqueados puesto que al agente de atención al cliente ya no le constan
datos de ninguna cuenta con el DNI de la reclamante, ni de la hija menor de esta.
Solicitada a la parte reclamada los posibles productos activos de la hija mayor de la
reclamante y que confirmara la fecha de cancelación de los productos que ya no
estuvieran activos, con fecha de 01/06/2022 se recibe escrito remitido por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/23
CAIXABANK informando de que el único producto de esta hija de la reclamante fue
cancelado el 10/01/2020. Adjuntan copia del documento de cancelación.
En cuanto a la asociación de su otra hija con la reclamante según la llamada recibida
de Atención al Cliente el 25/02/2021 (después de su primera llamada), y que la
reclamante encuentra como incomprensible, no se ha podido determinar la causa del
error de identificación que la parte reclamada atribuye a un error involuntario por parte
del agente del SAC, pero lo que queda constatado, a tenor de la información reflejada
en el párrafo anterior, es que una vez terminada la relación contractual con la parte
reclamada de la hija mayor de la reclamante en enero de 2020, sus datos personales
no fueron bloqueados y han seguido siendo tratados por el SAC, al menos, hasta el
25/02/2021, día en que recibe llamada telefónica del SAC para informarle de los datos
de esta hija, en vez de lo relativo a la cuenta corriente de la hija menor por la que se
había interesado.
Respecto a la cancelación de la cuenta bancaria de la hija menor de la reclamante, en
el anexo número cuatro incluido en la reclamación presentada en esta Agencia, consta
la contestación de la directora de la oficina ***OFICINA.2 de BANKIA, S.A., en la
***DIRECCION.1, ***LOCALIDAD.1, con fecha de 03/03/2021,en la que informa a la
reclamante de que la cuenta corriente de la hija menor de ésta fue cancelada con
fecha de 28/01/2020 por el otro progenitor, siendo transferido el saldo obrante en esa
cuenta a la cuenta corriente de éste.
Respecto a esta cancelación, se verifica que, aunque para la apertura de la cuenta
corriente originalmente en la entidad Banco Mare Nostrum-Caja Murcia (adquirida
posteriormente por Bankia y finalmente ésta por CaixaBank) se solicitaron las firmas
de ambos progenitores, para la orden de cancelación de ésta solicitada a CaixaBank
solo se requirió la del padre, trabajador en la sucursal de CaixaBank donde estaba la
cuenta de la hija menor de la reclamante. Por lo tanto, se constata que la parte
reclamada canceló la cuenta corriente de la hija menor de la reclamante únicamente
con el consentimiento del padre de la menor y sin conocimiento de la reclamante.
QUINTO: Notificado el acuerdo de inicio el reclamado solicito el 08/09/2022 ampliación
del plazo para contestar; ampliación que fue concedida mediante escrito de fecha
09/09/2022.
El reclamado el 15/09/2022 presento escrito de alegaciones manifestando, en síntesis:
la indefensión que provocaba que se fijara el importe de la sanción en el acuerdo de
inicio; la inexistencia de infracción del artículo 15 del RGPD al considerar que el
derecho de acceso fue atendido de conformidad con la normativa de protección de
datos de carácter personal; la inexistencia de infracción del artículo 32.1 del RGPD ya
que en su condición de representante legal de las menores, el acceso a la información
de dichas cuentas, por parte de la reclamante, es absolutamente legítimo; que la
Agencia se pronuncia sobre temas civiles, cuando es ella misma la que tiene
establecido que estas cuestiones no resultan ser de su ámbito competencia; que las
agravantes que, indebida e improcedentemente, considera concurrentes esta Agencia
no son aplicables y por el contrario existen circunstancias atenuantes que no han sido
consideradas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/23
SEXTO: Con fecha 21/03/2023, se acordó la apertura de un período de práctica de
pruebas, acordándose las siguientes:
- Dar por reproducidos a efectos probatorios las reclamaciones interpuestas por
los reclamantes y su documentación, los documentos obtenidos y generados
por los Servicios de Inspección que forman parte del expediente.
- Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de
inicio presentadas por el reclamado.
SEPTIMO: En fecha 05/04/2023, fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia Española de Protección de Datos se sancionara al
reclamado por infracción del artículo 15 del RGPD, tipificada en el artículo 83.5.a) del
RGPD, con multa de 35.000 euros (treinta y cinco mil euros) y, por una infracción del
artículo 32.1 del RGPD tipificada en el Artículo 83.4.a) del RGPD, con una multa de
25.000 ? (veinticinco mil euros). Se acompañaba Anexo con los documentos
integrantes del expediente administrativo.
El reclamado solicito el 11/04/2023 copia del expediente, que le fue remitida
mediante escrito el 13/04/2023. También solicito el 19/04/2023 ampliación del plazo
para alegaciones que fue concedido mediante escrito del instructor de fecha
21/04/2023.
El reclamado el 27/04/2023 presento escrito de alegaciones en el que daba por
reproducidas las formuladas a lo largo del procedimiento y, además, reiteraba que no
existía vulneración del artículo 15 del RGPD, ni infracción alguna del artículo 32 del
citado Reglamento, solicitando el archivo del procedimiento.
OCTAVO: De las actuaciones practicadas en el presente procedimiento, han quedado
acreditados los siguientes:
HECHOS PROBADOS
PRIMERO. El 01/06/2022 tiene entrada en la AEPD escrito de la reclamante
manifestando que había solicitado en varias ocasiones al reclamado información de
una cuenta de su hija B.B.B., menor de edad, de la que ostenta su guarda y custodia
exclusiva y siendo representantes ambos progenitores; tras recibir respuesta de que
no podían facilitar dicha información a una dirección de correo electrónico al no
constar registrada en la base de datos, se dirige al reclamado reiterando su solicitud
de información y la operadora le indica que dicha información se encuentra bloqueada,
si bien remite un correo al departamento de coordinación para que contacten con la
reclamante y le ofrezcan más información al respecto; ese día recibe una llamada del
director de una sucursal distinta facilitándole información acerca de otra de sus hijas,
advirtiéndole del error cometido; finalmente, el director le confirma que la cuenta de la
hija por la que preguntaba se encontraba cancelada y que debía acudir a la sucursal
correspondiente para obtener más información; en dicha oficina, trabaja el padre de la
menor del que se encuentra en trámites de divorcio; finalmente le informan que la
cuenta fue cancelada por el padre realizándose traspaso de fondos a una de las
cuentas de éste; ha solicitado acceso a documentación relativa a la cuenta, así como a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/23
las grabaciones de las llamadas realizadas sobre dicho asunto al SAC, sin que se le
hayan facilitado las grabaciones; también ha presentado escritos mostrando su
desacuerdo con la cancelación de la cuenta de su hija, al constar solo la firma del
padre para ello, así como por la obstaculización a la hora de solicitar información, sin
que haya recibido respuesta.
SEGUNDO. Consta aportados correos intercambiados con la Directora de la sucursal
del reclamado solicitando información de la cuenta de la menor.
En el e-mail de 11/02/2021 se indica:
?(?)
Por medio del presente e-mail te solicito información acerca de la cuenta bancaria de
mi hija B.B.B.?, con DNI?, ya que yo constaba como Titular de la misma junto con
C.C.C. y desconozco tanto el número de cuenta y demás información y/o incidencias
que hayan podido ocurrir.
(?)?
El 18/02/2021 la reclamante se vuelve a dirigir a la Directora de la sucursal señalando:
?(?)
Por medido de presente e-mail te comunico que todavía sigo a la espera de que me
informes?
(?)?
El 23/02/2021 obtiene respuesta de la Directora de la sucursal con el siguiente tenor:
?Te ruego me disculpes, pero no podemos dar información a través de esta vía a una
dirección de correo electrónico que no nos consta en nuestra base de datos??
El 23/02/2021 la reclamante vuelve a dirigirse a la anterior:
?En respuesta a tu anterior correo electrónico y, no obstante entendiendo que queda
acreditada tanto mi información personal que ya te incluí en mi email anterior con
respecto a mi Documento Nacional de Identidad, así como el de mi hija, ruego me
informes a la mayor brevedad posible si tengo que realizar la petición adjuntando y
escaneando una carta firmada con todos mis datos y mi petición de información (dada
la situación en prevención por contagios por COVID suele ser la práctica habitual), o si
por el contrario, me concedes una cita en tu oficina para tratar este asunto en el
horario que mejor te convenga, no obstante, te agradecería, dada la situación, mi gran
preocupación, así como la dilación en tu contestación negativa a obtener dicha
información, que sea a la mayor brevedad posible?.
TERCERO. El 23/02/2021 la reclamante se dirige mediante e-mail al Servicio de
Atención al Cliente en relación con la cancelación del contrato mi primera cuenta de su
hija, contrato nº ***CONTRATO.1, indicando:
?Por medio del presente e-mail, yo la reclamante, con DNI ?, les hago llegar el Escrito
de la Reclamación que presento como reclamante a fecha de hoy debidamente
firmado, así como los documentos anexos que lo acompañan??
CUARTO. Consta aportado el Escrito de Reclamación de 23/03/2021 comunicando al
reclamado las incidencias producidas que se recogen en el hecho primero e
igualmente copias de los DNIs de la reclamante y de su hija menor B.B.B..
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/23
QUINTO. Consta aportado Auto del Juzgado de Violencia sobre la Mujer nº 1 de
***LOCALIDAD.1, procedimiento de medidas provisionales previas en cuya parte
dispositiva se recoge que:
?(?)
- Se atribuye la guarda y custodia de la hija a la madre, siendo la patria potestad
compartida por ambos progenitores.
(?)?
SEXTO. El 01/03/2021 la representación letrada de la reclamante remitió, en su
nombre y representación, correo electrónico al reclamado solicitando toda la
documentación relacionada con la cancelación del contrato Mi primera cuenta nº
***CONTRATO.1, cuya titular es la menor. También solicitaba copia de las
grabaciones de las llamadas telefónicas de 25/02/2021.
SEPTIMO. Consta respuesta del reclamado de fecha 03/03/2021 manifestando: ?Que
atendiendo a la solicitud de la reclamante en la que nos solicita información sobre
cuentas bancarias vigentes y/o canceladas de su hija B.B.B.? en nuestra entidad y
consultados los registros obrantes en poder de esta sucursal, le informo que:
Únicamente existe registro de una Libreta de Ahorro Infantil abierta en la Entidad
Banco Mare Nostrum con fecha 19 de octubre de 2017 con código cuenta cliente nº
***CONTRATO.2 siendo titular B.B.B. ?, con DNI ? y como representantes legales
D. C.C.C. con DNI ? y la reclamante, con DNI ?
Dicha cuenta se canceló estando ya en Bankia con número de cuenta
***CONTRATO.1, con fecha 28 de enero de 2020 por el representante legal D. C.C.C.
Que el saldo resultante de la cancelación ascendía a 480,00? importe que se traspasó
a cuenta corriente abierta en esta entidad cuya titularidad corresponde a D. C.C.C.?.
OCTAVO. Consta aportada contrato Libreta Ahorro Infantil nº ***CONTRATO.2 donde
figura como titular la menor B.B.B. y como representantes los padres, suscrita en
***LOCALIDAD.1 el 19/10/2017.
NOVENO. Consta aportada Cancelación contrato Mi primera cuenta, de 28/01/2020
firmado por el padre de la menor y en el que se señala: ?De conformidad con lo
pactado en el contrato nº ***CONTRATO.1 Mi primera Cuenta de fecha 19 octubre
2017 el cliente ha solicitado con fecha 28 enero 2020 la cancelación del mismo?.
DECIMO. Consta escrito de la reclamante de fecha 11/03/2021 dirigido al reclamado
en el que solicita copia de las grabaciones de las llamadas realizadas al teléfono de
atención al cliente el 25/02/2021.
UNDECIMO. Consta la respuesta ofrecida por el reclamado a la reclamante en escrito
de fecha 09/04/2021, en el que manifiesta:
?(?)
Con respecto a un posible incumplimiento de la normativa de protección de datos en la
llamada que recibió desde la oficina ***OFICINA.1, hemos solicitado informe al Centro
de Atención telefónica y nos indican que en la llamada del 25/02/2021 a las 10:27
horas, el operador, tras pedirle el número del DNI de la menor, le hizo saber que no
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/23
constaban productos abiertos a su nombre, por lo que no le aparecía ninguna
información, pero que la oficina gestora la llamaría para facilitársela.
Aparentemente, dicho operador efectuó una consulta de cuentas canceladas a
nombre de B.B.B. para averiguar la identificación de todos los intervinientes,
comprobando que Vd. fue titular de cuentas en la oficina ***OFICINA.1, por lo que
pidió a esta que se pusieran en contacto con Vd., aunque cometiendo un error en
cuanto a la identificación de la menor.
En el expediente de la presente reclamación se encuentra la transcripción de las
llamadas que la oficina ***OFICINA.2 puede entregarse, si así lo desea.
(?)?
DUODECIMO. Consta respuesta ofrecida por el reclamado a la reclamante en escrito
de fecha 29/07/2021, en el que manifiesta:
?En relación con su solicitud reiteramos el contenido de la contestación efectuada por
el
Servicio de Atención al Cliente el pasado 9 de abril de 2021, que da contestación a su
solicitud. En la parte relativa a datos y su interés en conocer si se había producido ?un
posible delito de protección de datos?, tal y como se le indicó por parte del citado
Servicio
de Atención al Cliente, no se ha cometido ningún tipo de delito, dado que al ser usted
la
madre de ambas menores en su condición de representante legal tiene derecho a
conocer la información de ambas, siendo un error involuntario por parte del operador
que le atendió, al facilitar el aviso para que le contactaran, a la oficina donde figura
abierta la cuenta de su hija D.D.D. y no a la oficina de su otra hija B.B.B., en la que
estaba interesada.
DECIMOTERCERO. Figura aportada por el reclamado el correo remitido por el
operador a la oficina ***OFICINA.1, sin fecha, en el que solicita se pongan en contacto
con la reclamante con relación a la cuenta abierta a nombre de su hija D.D.D..
DECIMOCUARTO. La reclamante en escrito de 09/11/2021 reitera ?su SOLICITUD de
requerir que la AEPD a CaixaBank las grabaciones y transcripción de las llamadas de
fecha 25/02/2021. La AEPD comprobara por las grabaciones telefónicas y la
transcripción de las mismas, que en mi llamada a Atención al Cliente de Caixabank
de dicho día a las 10:27 horas en ningún momento me identifiqué con mi DNI personal
y tan solo facilite el nombre y el DNI de mi hija la menor con DNI .., por lo que resulta
totalmente incoherente la respuesta facilitada por Caixabank, ya que en ningún
momento el operador pudo vincular mi DNI con el de mi otra hija, puesto que en
ningún momento lo había facilitado??
DECIMOQUINTO. El 15/03/2022 el reclamado a requerimiento de la AEPD aportaba
copias de las grabaciones de las llamadas telefónicas efectuadas a Atención al Cliente
de Bankia al número ***TELEFONO.1 de fecha 25.02.2021 realizadas desde el
número de móvil ***TELEFONO.2 de la reclamante. En las mismas no se menciona
solicitud alguna de la cuenta de D.D.D., hija de la reclamante, sino información relativa
a B.B.B., hija menor de la reclamante.
DECIMOSEXTO. También consta aportado Cancelación contrato Mi primera cuenta,
de 10/01/2020 firmado por la madre y cuyo titular era D.D.D. y en el que se señala:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/23
?De conformidad con lo pactado en el contrato nº ***CONTRATO.3 Mi primera cuenta
de fecha 8 de enero de 2015 el cliente ha solicitado con fecha 10 de enero de 2020 la
cancelación del mismo?.
DECIMOSEPTIMO. Y en escrito de 31/05/2022 el reclamado informaba que: ?D.D.D.
con DNI ***NIF.1 no tiene en la actualidad ningún producto vigente en esta Entidad.
En nuestros sistemas consta que fue titular de un único producto, el contrato número
***CONTRATO.3 (Mi primera cuenta), que fue cancelado el 10 de enero de 2020?.
.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los
procedimientos tramitados por la Agencia Española de Protección de Datos se regirán
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las
contradigan, con carácter subsidiario, por las normas generales sobre los
procedimientos administrativos."
II
Los hechos denunciados se concretan en la ausencia de respuesta a la
solicitud de acceso a los datos e información de la cuenta de la hija menor solicitada
por su madre, con quebrantamiento de las medidas de seguridad para determinar la
titular de los datos solicitados (al ser facilitados los datos de la cuenta de su otra hija),
lo que podría vulnerar la normativa de protección de datos.
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes
correctivos indicados a continuación:
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en
lugar de las medidas mencionadas en el presente apartado, según las
circunstancias de cada caso particular;
(?)?
En primer lugar, el artículo 15, Derecho de acceso del interesado, establece
que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/23
?1. El interesado tendrá derecho a obtener del responsable del tratamiento
confirmación de si se están tratando o no datos personales que le conciernen y, en tal
caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron
o serán comunicados los datos personales, en particular destinatarios en
terceros países u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o,
de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o
supresión de datos personales o la limitación del tratamiento de datos
personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier
información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de
perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales
casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
2. Cuando se transfieran datos personales a un tercer país o a una
organización internacional, el interesado tendrá derecho a ser informado de las
garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales
objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada
por el interesado un canon razonable basado en los costes administrativos. Cuando el
interesado presente la solicitud por medios electrónicos, y a menos que este solicite
que se facilite de otro modo, la información se facilitará en un formato electrónico de
uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará
negativamente a los derechos y libertades de otros?.
Mientras que, en la LOPDGDD, en cuanto al derecho de acceso, en su artículo
13 dispone que:
"1. El derecho de acceso del afectado se ejercitará de acuerdo con lo
establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de datos relativos al afectado y
este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte
de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el
afectado especifique los datos o actividades de tratamiento a los que se refiere la
solicitud.
2. El derecho de acceso se entenderá otorgado si el responsable del
tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/23
datos personales que garantice, de modo permanente, el acceso a su totalidad. A
tales efectos, la comunicación por el responsable al afectado del modo en que este
podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio
del derecho.
No obstante, el interesado podrá solicitar del responsable la información
referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679
que no se incluyese en el sistema de acceso remoto.
3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679
se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una
ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga
un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho
afectado asumirá el exceso de costes que su elección comporte. En este caso, solo
será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin
dilaciones indebidas".
III
1. En primer lugar, alega la reclamada indefensión derivada de la fijación del
importe de la sanción en el acuerdo de inicio ya que el órgano sancionador procede ab
initio a fijar los importes de las sanciones imputadas, considerando que esto supone
un comportamiento reprochable por afectar al ejercicio de sus derechos.
Hay que señalar que ya la Audiencia Nacional en Sentencia de 09/12/2022,
que tan bien debe conocer el reclamado por ser el recurrente del contenciosoadministrativo
planteado y que fue desestimado, se pronunciaba sobre estas y otras
cuestiones como el de la incompetencia de la persona firmante de la resolución:
?CUARTO.- En segundo lugar, propugna la nulidad de pleno derecho de la
resolución recurrida por vulneración del derecho de la recurrente a la tutela judicial
efectiva y a la defensa, al haber fijado en el acuerdo de inicio " in audita parte" la
cuantía de la sanción a imponer, que finalmente coincide con la contenida en la
resolución sancionadora. Además, se produce una contaminación de la actuación
inspectora por parte del órgano competente para resolver, que ab initio muestra al
órgano instructor los términos a los que, a su juicio, debería ceñirse el resultado del
procedimiento.
Señala que la Ley 29/2015, de uno de octubre, de Procedimiento
Administrativo Común de las Administraciones Públicas, no introduce novedad alguna
en el art 64 sobre el régimen regulador de los acuerdos de inicio de los procedimientos
sancionadores y que la literalidad del art. 85 no supone, a su juicio, una habilitación
para prejuzgar el caso en el acuerdo de inicio, con la consiguiente quiebra de los
derechos del encartado en el procedimiento.
Sobre la determinación de la sanción ab initio, el acuerdo de inicio de 7 de
octubre de 2020- páginas 43 y siguientes del procedimiento- además del
nombramiento de instructor, de la relación de hechos, calificación de los mismos, se
indica en su dispositivo 4 " QUE a los efectos previstos en el art 64.2.b) de la ley
39/2015, de 1 de octubre, Procedimiento Administrativo Común de las
Administraciones Públicas (en lo sucesivo LPACAP), la sanción que pudiera
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/23
corresponder sería de multa administrativa por importe de 50.000 ?, sin perjuicio de lo
que resulte de la instrucción".
Además, en su dispositivo 5, se acuerda notificar el citado acuerdo a BANKIA
S.A. otorgándole un plazo de audiencia de diez hábiles para que formule las
alegaciones y proponga las pruebas que considere procedentes, y se indica que " De
conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la
sanción a imponer fuera de multa, podrá reconocer su responsabilidad dentro del
plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo
que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en
el presente procedimiento (...) Del mismo modo podrá en cualquier momento anterior
a la resolución del presente procedimiento, llevar a cabo el pago voluntario de la
sanción propuesta, de conformidad con lo establecido en el artículo 85.2 de la
LPACAP, lo que supondrá una reducción de un 20% de su importe (...).La reducción
del pago voluntario de la sanción es acumulable al que corresponde aplicar por el
reconocimiento de la responsabilidad, siempre que este reconocimiento de la
responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento".
Pues bien, el citado artículo 64, establece en su apartado 2. que el acuerdo de
iniciación en los procedimientos de naturaleza sancionadora deberá contener, " al
menos", por lo que aquí nos interesa:
" b) Los hechos que motivan la incoación del procedimiento, su posible
calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte
de la instrucción (...)".
d) Órgano competente para la resolución del procedimiento (...), indicando la
posibilidad de que el presunto responsable pueda reconocer voluntariamente su
responsabilidad, con los efectos previstos en el artículo 85".
Es decir, se exige la constancia en el acuerdo de incoación de, al menos, los
hechos, su posible calificación y de las posibles sanciones a imponer, así como de
informar, ya de inicio, de la posibilidad de aplicar las reducciones que permite el
artículo 85 de la LPACAP, que presupone una determinación provisional inicial de las
sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.
Indicación a que se refiere el apartado d) del citado artículo 64.2, que no se
contemplaba en el acuerdo de inicio regulado en el artículo 13 del Real Decreto
1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento
para el Ejercicio de la Potestad Sancionadora, derogado por la Disposición derogatoria
única de la Ley 39/2015.
Por su parte, el artículo 85 LPACAP, determina:
1. Iniciado un procedimiento sancionador, si el infractor reconoce su
responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción
que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa
imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado
la improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,
el órgano competente para resolver el procedimiento aplicará reducciones de, al
menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables
entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/23
iniciación del procedimiento y su efectividad estará condicionada al desistimiento o
renuncia de cualquier acción o recurso en vía administrativa contra la sanción".
Así las cosas, a la vista de los citados preceptos y siguiendo el criterio de la
SAN, Sec. 3ª, de 19 de junio de 2019 (Rec. 447/2018) en un supuesto similar al
presente: " No existe por tanto impedimento legal alguno para que el acuerdo de
incoación contenga una concreción inicial y provisional de la sanción/es que pueda/n
aparejar los hechos investigados dentro de las previstas normativamente, lo que no
implica merma derechos del expedientado pues ello se hace "sin perjuicio de lo que
resulte de la instrucción (...) y, esta concreción inicial y provisional, en aras a la
celeridad y eficacia en el obrar administrativo, viene a permitir el pago voluntario
desde el mismo momento del inicio (...). No hay base legal alguna para entender que
la concreción de la sanción y el juego del pago voluntario no puedan producirse hasta
la propuesta de resolución tras la correspondiente instrucción".
Es decir, la competencia para determinar el acuerdo de inicio del procedimiento
sancionador determina la obligación de que dicho acuerdo ha de contener la totalidad
de las circunstancias previstas por la normativa aplicable, entre ellas la determinación
provisional de la sanción que pueda corresponder, que será sin perjuicio de lo que
resulte de la instrucción del procedimiento. Instrucción del procedimiento cuya
competencia corresponde al instructor y al secretario, que fueron designados en el
dispositivo 2 del citado acuerdo, indicando que cualquiera de ellos podrá ser recusado,
en su caso, conforme a lo previsto en los artículos 23 y 24 de la Ley 40/2015, de 1 de
octubre, de Régimen Jurídico del Sector Público (LRJSP).
Corresponde por tanto al interesado, a la vista del acuerdo sancionador,
solicitar las pruebas que crea oportunas, realizar alegaciones, etc., sin que pueda
apreciarse la existencia de indefensión y apreciar la vulneración alegada; además, la
demandante en ningún momento ha mostrado su voluntad de reconocer la
responsabilidad por la infracción sancionada y acogerse a los efectos previstos en el
artículo 85 de la LPACAP.?
2. En segundo lugar, en cuanto a la posible controversia suscitada en relación
con la cancelación de la cuenta de la menor ejercitada por el padre sin el concurso de
la madre, quien disfrutaba de su guarda y custodia, es una cuestión que excede de las
competencias de este centro directivo.
3. El RGPD permite que se pueda ejercer ante el responsable del tratamiento
los derechos de acceso, rectificación, oposición, supresión (?derecho al olvido?),
limitación del tratamiento, portabilidad y de no ser objeto de decisiones
individualizadas.
Si el responsable no da curso a la solicitud, deberá informar de las razones de
su no actuación y la posibilidad de reclamar ante una Autoridad de Control, si no ha
obtenido respuesta.
En el presente caso, si bien la reclamante tuvo que dirigirse en numerosas
ocasiones al reclamado para que se diera curso al derecho de acceso a la información
relacionada con la cuenta de su hija menor B.B.B., el mismo puede considerarse
atendido a la luz de los hechos probados en los que figura la respuesta ofrecida a la
reclamante el 03/03/2021:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/23
?Que atendiendo a la solicitud de la reclamante en la que nos solicita
información sobre cuentas bancarias vigentes y/o canceladas de su hija B.B.B.? en
nuestra entidad y consultados los registros obrantes en poder de esta sucursal, le
informo que:
Únicamente existe registro de una Libreta de Ahorro Infantil abierta en la
Entidad Banco Mare Nostrum con fecha 19 de octubre de 2017 con código cuenta
cliente nº ***CONTRATO.2 siendo titular B.B.B. ?, con DNI ? y como representantes
legales D. C.C.C. con DNI ? y la reclamante, con DNI ?
Dicha cuenta se canceló estando ya en Bankia con número de cuenta
***CONTRATO.1, con fecha 28 de enero de 2020 por el representante legal D. C.C.C..
Que el saldo resultante de la cancelación ascendía a 480,00? importe que se traspasó
a cuenta corriente abierta en esta entidad cuya titularidad corresponde a D. C.C.C.?.
Y también que ?Consta aportada contrato Libreta Ahorro Infantil nº
***CONTRATO.2 donde figura como titular la menor B.B.B. y como representantes los
padres, suscrita en ***LOCALIDAD.1 el 19/10/2017?.
Por otra parte, como ya ocurrió con la información bancaria relativa a la menor,
las grabaciones de las dos llamadas realizadas al SAC por la reclamante tuvieron que
ser solicitadas tanto el 01/03/2021, por la representación letrada, como el 11/03/2021
por la reclamante, no obteniendo respuesta hasta el 09/04/2021 mediante escrito en el
que se le indicaba que se ponía a su disposición la transcripción de las mismas:
?(?)
En el expediente de la presente reclamación se encuentra la transcripción de
las llamadas que la oficina ***OFICINA.2 puede entregarse, si así lo desea.
(?)?
Por tanto, ha quedado acreditado que el reclamado remitió a la reclamante la
información solicitada en relación con la información bancaria relativa a su hija menor
B.B.B. y, en cuanto a las grabaciones conteniendo las conversaciones mantenidas
con el operador del SAC, se pusieron a su disposición la transcripción de las mismas,
por lo que se considera atendido el ejercicio del citado derecho.
De lo que antecede se desprende que el reclamado no ha vulnerado el artículo
15 del RGPD, infracción tipificada en el artículo 83.5 a) del RGPD.
IV
En segundo lugar, el artículo 32 del RGPD ?Seguridad del tratamiento?,
establece que:
?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,
que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/23
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos
personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente
en cuenta los riesgos que presente el tratamiento de datos, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento
para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del
presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para
garantizar que cualquier persona que actúe bajo la autoridad del responsable o del
encargado y tenga acceso a datos personales solo pueda tratar dichos datos
siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del
Derecho de la Unión o de los Estados miembros?.
V
La vulneración del artículo 32 del RGPD se encuentra tipificada en el artículo
83.4.a) del citado RGPD en los siguientes términos:
?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43.
(?)?
Por su parte, la LOPDGDD en su artículo 73, a efectos de prescripción, califica
de ?Infracciones consideradas graves?:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679
se consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/23
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia,
de las medidas técnicas y organizativas que se hubiesen implantado conforme
a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679?.
(?)?
1. El RGPD define las violaciones de seguridad de los datos personales como
todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o
alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados
de otra forma, o la comunicación o acceso no autorizados a dichos datos?.
De la documentación obrante en el expediente se ofrecen indicios evidentes de
que el reclamado ha vulnerado el artículo 32 del RGPD, al producirse un incidente de
seguridad al aportarse los datos de la cuenta de un tercero (hija de la reclamante),
telefónicamente sin haber comprobado antes la identidad de la persona a la que se
facilitaban los datos
Hay que señalar que el RGPD en el citado precepto no establece un listado de
las medidas de seguridad que sean de aplicación de acuerdo con los datos que son
objeto de tratamiento, sino que establece que el responsable y el encargado del
tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo
que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de
aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de
probabilidad y gravedad para los derechos y libertades de las personas interesadas.
Asimismo, las medidas de seguridad deben resultar adecuadas y
proporcionadas al riesgo detectado, señalando que la determinación de las medidas
técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el
cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y
resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un
incidente, proceso de verificación (que no auditoría), evaluación y valoración de la
eficacia de las medidas.
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán
particularmente en cuenta los riesgos que presente el tratamiento de datos, como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios
físicos, materiales o inmateriales.
En este mismo sentido el considerando 83 del RGPD señala que:
?(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo
dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar
los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el
cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la
confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación
con respecto a los riesgos y la naturaleza de los datos personales que deban
protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben
tener en cuenta los riesgos que se derivan del tratamiento de los datos personales,
como la destrucción, pérdida o alteración accidental o ilícita de datos personales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/23
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios
físicos, materiales o inmateriales?.
2. Como se señalaba en fundamentos anteriores de las manifestaciones de la
reclamante y de la documentación aportada al expediente se desprende que tras
solicitar el acceso a los datos de su hija sin que fuera atendido, el 25/02/2021 llama
por teléfono al servicio de atención al cliente de la reclamada reiterando su solicitud de
información, siendo informada por el operador actuante de que la cuenta estaba
cancelada, remitiendo un e-mail al departamento de coordinación para que contacten
con la reclamante y le ofrezcan información al respecto y, ese mismo día, la
reclamante recibe una llamada del director de una oficina distinta a la que tenía
asignada la cuenta para facilitarle información acerca de otra de sus hijas, sin que le
solicitara ninguna acreditación de su identidad.
El precepto infringido establece como debe articularse la seguridad del
tratamiento a relación con las medidas de seguridad concretas que hay que
implementar, de tal forma que teniendo en cuenta el estado de la técnica, los costes
de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así
como riesgos de probabilidad y gravedad variables para los derechos y libertades de
las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea
adecuado al riesgo y que incluya, entre otras cuestiones, garantizar que solicitados los
datos relativos a una persona, el acceso a los mismos coinciden y son los relativos a la
misma de los que es titular y no los correspondientes a una tercera persona aunque
esta sea también hija de la reclamante y con cuenta abierta en la misma entidad.
El mismo reclamado en escrito de 29/07/2021 reconoce la infracción cometida
manifestando que: ?En relación con su solicitud reiteramos el contenido de la
contestación efectuada por el Servicio de Atención al Cliente el pasado 9 de abril de
2021, que da contestación a su solicitud. En la parte relativa a datos y su interés en
conocer si se había producido ?un posible delito de protección de datos?, tal y como se
le indicó por parte del citado Servicio de Atención al Cliente, no se ha cometido ningún
tipo de delito, dado que al ser usted la madre de ambas menores en su condición de
representante legal tiene derecho a conocer la información de ambas, siendo un error
involuntario por parte del operador que le atendió, al facilitar el aviso para que le
contactaran, a la oficina donde figura abierta la cuenta de su hija D.D.D. y no a la
oficina de su otra hija B.B.B., en la que estaba interesada?.
Y en las grabaciones que por fin fueron remitidas a requerimiento del inspector
actuante no consta, a la luz de la audición de las mismas que la reclamante solicitara
ni aportara dato alguno de su hija D.D.D. puesto que la información por la que estaba
interesada tenía que ver con la cuenta de su otra hija, de la que tenía su guarda y
custodia B.B.B.; información que había sido solicitada tanto en anteriores como
posteriores escritos.
El reclamado ha alegado que no puede convertirse un error humano en una
quiebra de seguridad puesto que la reclamante accedió a datos a los que tenía
legítimo derecho a acceder, si bien no eran los que había solicitado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/23
Sin embargo, no se trata de convertir un error en un incidente de seguridad,
sino que el protocolo, procedimiento, sistema o medidas establecidas por el reclamado
han fallado, permitiendo el acceso a los datos de terceros que no habían sido
solicitados por la reclamante.
3. La responsabilidad del reclamado viene determinada por la quiebra de
seguridad puesta de manifiesto por el reclamante, ya que es responsable de tomar
decisiones destinadas a implementar de manera efectiva las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir
el acceso a los mismos en caso de incidente físico o técnico.
4. En escrito de alegaciones a la Propuesta insiste el reclamado en que no se
ha infringido el artículo 32.1 del RGPD y que no se ha producido en ningún caso
filtración ni acceso indebido a los datos y que en este sentido la sentencia del T.S. de
15/02/2022 establece claramente que la obligación impuesta por el artículo 32 de
adoptar medidas técnicas y organizativas encaminadas a garantizar la confidencialidad
es una obligación de medios y no de resultados.
Sin embargo, el propio reclamado en su escrito sostiene que hubo un error en
la gestión al dar a la reclamante una documentación diferente a la solicitada.
Por otra parte, es cierto que el T.S. en su sentencia señala que: ?La obligación
de adoptar las medidas necesarias para garantizar la seguridad de los datos
personales no puede considerarse una obligación de resultado, que implique que
producida una filtración de datos personales a un tercero exista responsabilidad con
independencia de las medidas adoptadas y de la actividad desplegada por el
responsable del fichero o del tratamiento.
En las obligaciones de resultado existe un compromiso consistente en el
cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto,
en este caso garantizar la seguridad de los datos personales y la inexistencia de
filtraciones o quiebras de seguridad.
En las obligaciones de medios el compromiso que se adquiere es el de adoptar
los medios técnicos y organizativos, así como desplegar una actividad diligente en su
implantación y utilización que tienda a conseguir el resultado esperado con medios
que razonablemente puedan calificarse de idóneos y suficientes para su consecución,
por ello se las denomina obligaciones "de diligencia " o "de comportamiento".
La diferencia radica en la responsabilidad en uno y otro caso, pues mientras
que en la obligación de resultado se responde ante un resultado lesivo por el fallo del
sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada. En la
obligación de medios basta con establecer medidas técnicamente adecuadas e
implantarlas y utilizarlas con una diligencia razonable.
En estas últimas, la suficiencia de las medidas de seguridad que el
responsable ha de establecer ha de ponerse en relación con el estado de la tecnología
en cada momento y el nivel de protección requerido en relación con los datos
personales tratados, pero no se garantiza un resultado.?
Pero también lo es que el Tribunal confirma que no resulta suficiente el diseño
de los medios técnicos y organizativos necesarios, puesto que también resulta
necesaria su correcta implantación y su utilización de forma apropiada.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/23
Por tanto, de conformidad con lo que antecede, se estima que el reclamado
sería responsable de la infracción del artículo 32.1 del RGPD, infracción tipificada en
su artículo 83.4.a).
VI
A fin de establecer la multa administrativa que procede imponer han de
observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que
señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su
artículo 76, ?Sanciones y medidas correctivas?, establece que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/23
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier
interesado.?
- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción a imponer en el presente caso por la infracción del artículo 32.1 del RGPD,
tipificada en el artículo 83.4.a) del RGPD de la que se responsabiliza al reclamado, en
una valoración inicial, se estiman concurrentes los siguientes factores como
circunstancias agravantes:
La naturaleza, gravedad y duración de la infracción: los hechos puestos de
manifiesto afectan gravemente a una cuestión primordial en materia de protección de
datos como es el establecimiento de medidas técnicas y organizativas necesarias y
adecuadas y cuya vulneración es calificada como grave; es obvio que las medidas de
carácter técnico y organizativas implantadas afectan a la seguridad del tratamiento,
pues se solicitan datos relativos a una persona, menor de edad, y se acaba aportando
y permitiendo el acceso a datos de otra distinta, hermana de la anterior, de la que no
se había solicitado información alguna.
Como se señalaba anteriormente se han visto afectados datos de menores
(artículo 83.2, g) del RGPD).
La actividad de la entidad presuntamente infractora está vinculada con el
tratamiento de datos tanto de clientes como de terceros. En la actividad de la entidad
reclamada es imprescindible el tratamiento de datos de carácter personal por lo que,
dado volumen de negocio de la misma la transcendencia de la conducta objeto de la
presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD en relación con el
artículo 83.2.k).
La intencionalidad o negligencia en la infracción; pues el reclamado ha actuado
con grave falta de diligencia en su actuación al permitir el acceso a datos que no se le
habían solicitado. Conectado con el grado de diligencia que el responsable del
tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le
impone la normativa de protección de datos puede citarse la SAN de 17/10/2007. Si
bien fue dictada antes de la vigencia del RGPD su pronunciamiento es perfectamente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/23
extrapolable al supuesto que analizamos. La sentencia, después de aludir a que las
entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de
datos de clientes y terceros han de observar un adecuado nivel de diligencia,
precisaba que ?(...) el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto? (artículo 83.2,
b) del RGPD).
Volumen de negocio o actividad de la entidad, pues se trata de una de las tres
entidades financieras lideres en el mercado nacional con un beneficio neto durante los
ejercicios de 2021 y 2022 de 4.801 y de 3.145 millones de euros respectivamente
(artículo 83.2, k) del RGPD).
Como circunstancias atenuantes:
- La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente. El 25/03/2021 se
otorgó escritura de fusión por absorción de Bankia (entidad absorbida) y Caixabank
(entidad absorbente) con extinción de la primera y transmisión en bloque por sucesión
universal de todos sus activos, pasivos, derechos y obligaciones.
Con arreglo a dichos factores se estima adecuado imponer al reclamado una
sanción de 25.000 euros.
IX
Los poderes correctivos que el RGPD atribuye a la AEPD como autoridad de
control se relacionan en su artículo 58.2, apartados a) a j).
El artículo 83.5 del RGPD fija una sanción de multa administrativa (artículo
58.2.i) para las conductas que en él se tipifican, sin perjuicio de que, como dispone el
artículo 83.2 del RGPD, las multas administrativas puedan imponerse juntamente con
otras medidas correctivas previstas en el artículo 58.2 del RGPD.
Al haberse confirmado la infracción, procede imponer al responsable la
adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada
en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD,
según el cual cada autoridad de control podrá ?d) ordenar al responsable o encargado
del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/23
En el presente caso, se requiere al reclamado para que en el plazo de un mes
a partir de la notificación de la presente resolución:
- Acredite la adopción de medidas adecuadas para evitar que en el futuro se
produzcan incidencias como las que han provocado la apertura del presente
procedimiento sancionador evitando incidentes de seguridad como el señalado al
aportar documentación de terceras personas de la que no se había solicitado
información alguna.
Se advierte que no atender el requerimiento puede ser considerado como una
infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como
infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un
ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a CAIXABANK S.A., con NIF A08663619, por una infracción del
artículo 32.1 del RGPD tipificada en el artículo 83.4.a) del RGPD, una sanción de
25.000 ? (veinticinco mil euros).
SEGUNDO: NOTIFICAR la presente resolución a CAIXABANK S.A.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/23
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es