Ir al contenido

Eprivacidad by SIC Consulting

Área de Usuario

50.000 € por tratar datos sin base legal: el caso del Banco Pichincha

La AEPD sanciona al banco por abrir una cuenta bancaria a nombre de un cliente sin su consentimiento

50.000 € por tratar datos sin base legal: el caso del Banco Pichincha

En el expediente PS-00217-2023, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 50.000 euros al Banco Pichincha España, S.A. por tratar datos personales de un ciudadano sin ninguna base legal válida. El banco había abierto una cuenta a nombre del reclamante sin su conocimiento ni consentimiento, lo que supone una infracción directa del artículo 6.1 del RGPD.

Este caso es un ejemplo contundente de cómo incluso grandes entidades financieras pueden incurrir en incumplimientos graves si no aplican correctamente los principios fundamentales del Reglamento General de Protección de Datos.

¿Qué ocurrió?

El afectado presentó una reclamación ante la AEPD en la que aseguraba haber recibido información sobre una cuenta bancaria abierta a su nombre por el Banco Pichincha, cuando nunca había solicitado ni autorizado dicha operación.

Durante el procedimiento, el banco reconoció que, efectivamente, se había tramitado la apertura de una cuenta utilizando los datos personales del reclamante, pero no pudo acreditar la existencia de ningún contrato ni consentimiento expreso que justificara dicho tratamiento. No se aportaron grabaciones, documentos firmados ni registros digitales que demostraran que el interesado había solicitado el servicio.

La AEPD determinó que el banco trató los datos del afectado sin base jurídica alguna, lo que constituye una infracción muy grave de la normativa europea de protección de datos.

¿Qué norma se vulneró?

El artículo 6.1 del RGPD establece que un tratamiento de datos personales solo es lícito si se cumple, al menos, una de las siguientes condiciones:

  • El interesado dio su consentimiento.
  • El tratamiento es necesario para ejecutar un contrato.
  • El tratamiento es necesario para cumplir una obligación legal.
  • El tratamiento es necesario para proteger intereses vitales.
  • Es necesario para una misión realizada en interés público.
  • Es necesario para intereses legítimos del responsable.

En este caso, no se acreditó ninguna de estas condiciones. La apertura de una cuenta bancaria es un tratamiento que, por su naturaleza, requiere necesariamente consentimiento o contrato, y ninguna de estas bases se pudo demostrar.

Además, la AEPD subrayó que corresponde al responsable del tratamiento —en este caso, el banco— demostrar que ha actuado conforme a derecho (artículo 5.2 del RGPD, principio de responsabilidad proactiva).

¿Por qué se impuso una sanción de 50.000 €?

La AEPD aplicó los criterios establecidos en el artículo 83.2 del RGPD para calcular la cuantía de la sanción. Se tuvieron en cuenta los siguientes elementos:

  • La gravedad de la infracción: tratar datos bancarios sin consentimiento tiene un impacto directo sobre los derechos del afectado.
  • El tipo de datos tratados: se trataba de datos identificativos, de contacto y financieros, lo que incrementa el riesgo.
  • El riesgo de suplantación o fraude: la apertura no autorizada de cuentas puede derivar en usos fraudulentos.
  • La posición del infractor: como entidad financiera, el banco tiene una especial responsabilidad en la gestión de datos personales.
  • La falta de medidas correctoras eficaces: no se ofreció al afectado una reparación inmediata ni se explicó cómo pudo suceder el error.

Aunque se valoró positivamente la colaboración durante el procedimiento, la infracción se consideró suficientemente grave como para justificar una sanción económica importante.

¿Qué se debería haber hecho para evitar esta sanción?

El tratamiento de datos personales en el ámbito bancario está sujeto a un alto nivel de exigencia, tanto por el RGPD como por las regulaciones sectoriales (como la Ley 10/2010 de Prevención del Blanqueo de Capitales). Para evitar este tipo de sanciones, el banco debería haber:

  1. Acreditado la existencia de una relación contractual
    La apertura de una cuenta requiere que el cliente firme o acepte de forma inequívoca las condiciones. Si se trata de una solicitud online o telefónica, debe conservarse el audio o registro digital.
  2. Verificado la identidad del solicitante
    La entidad debió asegurarse de que quien solicitaba la apertura era realmente el titular de los datos. Existen procedimientos de verificación reforzada (KYC) obligatorios en el sector bancario.
  3. Registrar el consentimiento de forma demostrable
    Cualquier tratamiento basado en el consentimiento debe quedar registrado. No basta con que alguien haya proporcionado datos: debe constar que consintió el tratamiento para fines concretos.
  4. Auditar los procesos internos
    Si hubo un error de tramitación, una suplantación de identidad o un fallo en el sistema, la entidad debió haberlo detectado a tiempo mediante auditorías internas y mecanismos de validación.
  5. Formar al personal en protección de datos
    En sectores sensibles como el financiero, el personal debe estar capacitado para cumplir estrictamente con las normas de privacidad. Los errores humanos también son sancionables si derivan de una falta de formación.

Claves legales de este caso

  • Artículo 6.1 RGPD: licitud del tratamiento.
  • Artículo 5.1.a y 5.2 RGPD: principios de licitud y responsabilidad proactiva.
  • Artículo 7 RGPD: condiciones para que el consentimiento sea válido.
  • Artículo 83.2 RGPD: criterios para determinar la cuantía de la sanción.

La AEPD recordó que el consentimiento y el contrato son elementos esenciales y verificables en cualquier tratamiento, especialmente cuando se trata de servicios bancarios. No documentar adecuadamente ese consentimiento es, en sí mismo, un incumplimiento.

Una advertencia para todo el sector financiero (y más allá)

El caso del Banco Pichincha debe servir como recordatorio para todas las entidades, no solo las financieras. No se puede tratar ningún dato personal si no existe una base legal clara, justificada y acreditable. Ni siquiera si se trata de un cliente habitual.

La gestión responsable de datos exige mecanismos de trazabilidad, verificación y documentación. No hacerlo puede traducirse en sanciones, pérdida de reputación y reclamaciones judiciales.

🛡️ ¿Tus contratos y consentimientos están bien documentados? Averígualo gratis

En e-privacidad.net hemos diseñado un test gratuito que, en menos de 2 minutos, te permite saber si tu empresa está cumpliendo con los requisitos legales en materia de protección de datos. Rápido, claro y sin compromiso.

Haz el test ahora y protege tu negocio: www.e-privacidad.net

Etiquetado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

📩 Hablemos