La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado al BBVA, al pago de 200.000 euros, por suprimir todos los datos personales del móvil corporativo de una persona exempleada de la entidad financiera.
El resumen del relato de hechos es el que sigue:
- En septiembre de 2021, la parte reclamante finaliza su relación laboral con el BBVA. De acuerdo con las políticas internas de la entidad financiera, se ofrece a la persona que causa baja adquirir, a título personal, el dispositivo móvil corporativo, pasando a ser éste a ser de su propiedad, y, por tanto, de uso exclusivamente personal.
- No obstante, meses más tarde, el dispositivo móvil adquirido por la parte reclamante deja de estar activo, y, al tratar de reconfigurarlo, se muestra un mensaje que indica que el dispositivo está siendo remotamente administrado por la entidad financiera, solicitando el ingreso de las credenciales corporativas para continuar.
- La parte reclamante contacta con la entidad financiera, y ésta última responde adjuntándole un documento con los pasos a seguir para restaurar el terminal a valores de fábrica, como solución para poder reactivarlo, con la pérdida de información que dicha acción conlleva, incluidos los datos personales de la reclamada, en la medida en que venía haciendo un privativo del terminal, tras adquirirlo a título personal con posterioridad a causar baja de la empresa.
- La reclamante contacta por segunda vez con la entidad financiera, solicitando nuevamente ayuda para reactivar el terminal sin tener que restaurarlo a valores de fábrica, a lo que la entidad financiera responde indicando que en junio de 2022 se había procedido al borrado de toda su información personal.
Sobre la base de los hechos descritos, la AEPD resuelve lo siguiente:
- La entidad financiera procedió al borrado de los datos personales de la parte reclamante sin aviso previo, de manera unilateral, y sin ofrecer la posibilidad a la persona exempleada de realizar copia de seguridad de la información.
- La entidad financiera no contaba con base de licitud alguna para realizar el tratamiento de datos consistente en suprimir los mismos.
- La entidad financiera apoyaba la supresión de los datos en una cláusula del contrato de la persona exempleada. No obstante, argumenta la AEPD, dicha cláusula indicaba que la empresa podía suprimir todos los datos de las aplicaciones corporativas, pero no lo indicaba respecto al resto de datos, que a la postre eran información personal de la reclamante, datos e información que perdió, con el consiguiente perjuicio.
En virtud de lo anterior, la AEPD sanciona al BBVA al pago de 200.000 euros. La entidad financiera ha asumido la responsabilidad, y ha abonado 120.000 euros como consecuencia del incumplimiento de la normativa de protección de datos.
