Errores repetidos en el cobro de recibos no autorizados a un cliente bancario
Una persona presentó una reclamación ante la AEPD en octubre de 2023 contra una entidad de crédito debido a cargos indebidos en su cuenta bancaria. Según el reclamante, la entidad cargó recibos correspondientes a un préstamo de un tercero desconocido en su cuenta sin su autorización. Estos cargos se produjeron inicialmente entre julio y septiembre de 2022, a razón de dos recibos mensuales. La persona afectada contactó con la entidad en agosto de 2022, solicitando la supresión de sus datos bancarios y una explicación sobre cómo se obtuvo su información sin mediar relación contractual. A pesar de que la entidad accedió a devolver los importes cobrados indebidamente, en septiembre de 2023 se repitió la situación, con un nuevo cargo en la cuenta del reclamante, lo que motivó una nueva reclamación.
Ante esta situación, la entidad argumentó que la cuenta bancaria del reclamante figuraba en el contrato de la deudora y que los errores se debieron a fallos humanos en la transcripción del número de cuenta. La entidad también señaló que, tras la primera reclamación, había suprimido los datos del reclamante de su base de datos, pero que la deuda había sido vendida a otra empresa en junio de 2023, manteniéndose la información errónea en el contrato. El reclamante, por su parte, también presentó una denuncia en comisaría por estos hechos.
Fundamentos Jurídicos
La AEPD, tras investigar el caso, concluyó que la entidad de crédito había tratado los datos personales del reclamante sin contar con una base legítima para ello, infringiendo así el artículo 6 del RGPD, que regula la licitud del tratamiento de datos personales. La cuenta bancaria de la persona afectada, siendo un dato personal, fue utilizada sin su consentimiento, y la entidad no pudo justificar adecuadamente cómo esta información llegó a figurar en un contrato de una deudora con la que el reclamante no tenía ninguna relación contractual.
La Agencia también destacó que los dígitos de control de las cuentas bancarias dificultan la creación de un número de cuenta válido por error, lo que refuerza la idea de que el número de cuenta del reclamante fue añadido al contrato sin verificar la titularidad. Además, la AEPD consideró que la entidad no cumplió con la obligación de suprimir los datos personales de la persona afectada, conforme al artículo 17 del RGPD, dado que en septiembre y octubre de 2023 se realizaron nuevos cargos indebidos a pesar de la solicitud de supresión realizada en 2022.
En cuanto a la cesión de la deuda a una tercera empresa, la AEPD determinó que la entidad incurrió en un nuevo tratamiento ilícito de datos al comunicar la información errónea sin haber subsanado el error previamente. Este acto fue considerado una segunda infracción del artículo 6 del RGPD. La Agencia subrayó que la denunciada, como entidad bancaria, tiene una responsabilidad especial en el tratamiento de datos personales, en particular en garantizar la exactitud de estos.
En consecuencia, la AEPD calificó las acciones de la entidad como infracciones graves del RGPD, imputables tanto por el tratamiento inicial sin licitud como por el incumplimiento del derecho de supresión y la comunicación indebida de datos a terceros. Cada una de estas infracciones fue tipificada en el artículo 83.5 del RGPD, que contempla multas administrativas significativas por violaciones de los principios básicos del tratamiento de datos.
Resolución
La AEPD resolvió imponer a la entidad de crédito una multa total de 250.000 euros, desglosada en 100.000 euros por la infracción inicial del artículo 6 del RGPD, 50.000 euros por la infracción del artículo 17, y 100.000 euros adicionales por la segunda infracción del artículo 6. No obstante, dado que la entidad reconoció su responsabilidad y procedió al pago voluntario de la sanción con las reducciones aplicables, la multa final quedó establecida en 150.000 euros.
Además de la sanción económica, la AEPD ordenó a la entidad de crédito adoptar medidas correctivas para ajustar sus operaciones a la normativa de protección de datos, incluyendo la comunicación de la supresión del tratamiento a la empresa a la que se cedieron los datos del reclamante. La entidad tiene un plazo de tres meses para notificar a la AEPD la implementación de estas medidas.
Finalmente, la resolución de la AEPD indicó que esta decisión pone fin a la vía administrativa, pero que la entidad podría interponer recurso contencioso-administrativo ante la Audiencia Nacional si lo considera oportuno.