La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción significativa al Banco Bilbao Vizcaya Argentaria (BBVA) por incluir indebidamente a un cliente en una lista de morosos. La multa asciende a 200.000 euros, según el comunicado oficial emitido por la AEPD.

Requisitos Legales para la Inclusión en Ficheros de Morosos

  1. Existencia de una Deuda Vencida, Exigible y Cuantificada: La deuda debe ser cierta, vencida y exigible. Esto significa que no debe estar sujeta a controversia ni ser hipotética. Además, la cantidad adeudada debe estar claramente cuantificada y ser exigible por el acreedor.
  2. Requerimiento de Pago Previo: Antes de proceder a la inclusión del deudor en un fichero de morosos, el acreedor debe haber realizado un requerimiento de pago previo. Este requerimiento debe ser fehaciente, es decir, debe poder probarse que el deudor fue notificado de la existencia de la deuda y del plazo para abonarla.
  3. Plazo de Espera: Debe transcurrir un plazo mínimo de tiempo (generalmente 30 días) desde el requerimiento de pago sin que el deudor haya satisfecho la deuda o la haya impugnado de manera fundamentada.
  4. Información al Deudor: Informar al deudor de su posible inclusión en un fichero de morosos. Esta información debe ser clara y comprensible, detallando las consecuencias que podría tener la inclusión en dicho fichero.
  5. Principio de Proporcionalidad: La inclusión en un fichero de morosos debe ser proporcional a la deuda. Incluir deudas de pequeñas cuantías sin justificación adecuada puede ser considerado desproporcionado y, por tanto, ilegal.

El cumplimiento de estos requisitos es esencial para asegurar que la inclusión en un fichero de morosos se realiza de manera justa y legal. Los bancos y otras entidades que gestionan ficheros de morosos deben establecer procedimientos internos rigurosos para garantizar el respeto a los derechos de los deudores y evitar sanciones por parte de las autoridades de protección de datos.

Infracción del RGPD

La infracción se produjo cuando BBVA inscribió a un cliente en un registro de morosidad sin haber cumplido con los requisitos legales necesarios para esta acción. Según la investigación de la AEPD, el banco no verificó de manera adecuada la existencia y exigibilidad de la deuda, así como tampoco informó al cliente de su inclusión en la lista sin garantizar por ende, la protección de los derechos de los consumidores.

La AEPD ha determinado que BBVA violó los artículos 6 y 13 del Reglamento General de Protección de Datos (RGPD), que estipulan las condiciones para el tratamiento de datos personales y el derecho de información del interesado. Esta conducta es calificada como una infracción grave, dado que la inclusión en una lista de morosos puede tener repercusiones significativas en la vida financiera y personal de los afectados.

Recomendaciones para Empresas

Para evitar este tipo de infracciones y las sanciones que conllevan, las empresas deben seguir una serie de buenas prácticas en el tratamiento de datos personales:

  1. Verificación de Deudas: Antes de incluir a un cliente en una lista de morosos, es fundamental verificar de manera rigurosa la existencia y exigibilidad de la deuda. Esto incluye asegurarse de que la deuda es real, que está vencida y que el importe es correcto.
  2. Derecho de Información: Las empresas deben informar a los clientes de manera clara y transparente antes de incluir sus datos en un registro de morosidad. Esto permite al cliente tener la oportunidad de solventar la deuda o presentar alegaciones si considera que hay un error.
  3. Cumplimiento Normativo: Es esencial que las empresas estén al día con la normativa vigente en materia de protección de datos. Esto implica conocer y aplicar los artículos relevantes del RGPD, así como otras leyes nacionales aplicables.
  4. Formación Continua: Proveer a los empleados de formación continua en protección de datos y privacidad es crucial para asegurar que entienden sus obligaciones y actúan conforme a la ley.
  5. Controles y Auditorías Internas: Implementar controles y auditorías internas periódicas para revisar y mejorar los procedimientos de tratamiento de datos personales. Esto ayuda a identificar y corregir posibles fallos antes de que se conviertan en problemas legales.
  6. Políticas de Privacidad: Mantener políticas de privacidad claras y accesibles que expliquen cómo se manejan los datos personales y los derechos de los individuos en relación a sus datos.

Adoptando estas medidas, las empresas no solo evitarán sanciones, sino que también fortalecerán la confianza de sus clientes en la gestión responsable de sus datos personales.