En 2023 se interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) por una posible infracción imputable a la entidad financiera Ibercaja. El hecho conflictivo versa sobre la inclusión de datos del domicilio de uno de sus clientes en un justificante de transferencia bancaria enviada al beneficiario de la transferencia.
La parte reclamante manifestó que realizó una transferencia bancaria con Ibercaja a un cliente de otra entidad y cuando este le envió el justificante al ordenante para confirmar que la transferencia había llegado correctamente, se percató de la aparición de sus datos, en concreto su domicilio, en dicho justificante, lo que podría llevar a una vulneración de la normativa aplicable en materia de protección de datos.
Se solicitó información a las dos entidades bancarias inmersas en la operación con el fin de esclarecer hechos, ver en qué punto dicho dato personal se incluyó y a quien debe atribuirse la responsabilidad, a la parte reclamante, a la entidad ordenante o a la entidad beneficiaria de la transferencia.
En dicho análisis se estudia el recorrido que dicho dato realiza desde la información que el ordenante proporciona a su entidad bancaria, la información que se intercambian ambas entidades bancarias como proveedores de servicios de pago (PSP) y la información que proporciona la entidad beneficiaria al sujeto beneficiario.
Finalmente, la AEPD atribuye la responsabilidad del incumplimiento a Ibercaja, ya que no consta que la parte reclamante hubiese facilitado su dirección al realizar la transferencia y que, además, no es obligatoria la transmisión de dicha información (al ser adicional) entre los PSP cuando se trata de entidades que se encuentran en el Espacio Económico Europeo. Por su parte, la entidad beneficiaria, al recibir dicha información en el mensaje de pago, cumple con su obligación de transmitirla al sujeto beneficiario.
La AEPD considera que existe infracción del art.5 del RGPD imponiendo una multa de 70.000€ a Ibercaja, aunque tras la reducción del 40% debido al pronto pago y reconocimiento de responsabilidad, la cantidad a abonar se redujo a 42.000€. Además,la AEPD insta a Ibercaja para que adopte medidas adecuadas como convenga con el fin de cumplir con la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales.