Hechos probados
El número de teléfono de la reclamante, clienta de la entidad bancaria sancionada, fueclonado por un tercero, quien suplantó su identidad con la finalidad de efectuaroperaciones bancarias fraudulentas, transfiriendo un total de 50.000 € de la cuenta que disponía la reclamante en la entidad bancaria a otras cuentas bancarias.
Así, sirviéndose del número previamente clonado, el suplantador realizó una serie de llamadas al servicio de atención al cliente de la entidad bancaria con la finalidad de obtener el código OTP. Con el código OTP, el suplantador pudo cambiar la contraseña de la banca online de la reclamante y efectuar las operaciones fraudulentas, que le permitieron realizar determinadas transferencias bancarias. El servicio de atención al cliente del banco se encontraba externalizado a un tercero, que era catalogado de encargado de tratamiento y, por tanto, actuaba bajo las instrucciones de la entidad bancaria.
Dicho encargado no cumplió estrictamente con el protocolo de seguridad establecido por la entidad bancaria, puesto que a pesar de que el suplantador no pudo contestar de manera acertada y con claridad las preguntas efectuadas por el operador, este acabó facilitándole el código OTP al teléfono clonado, lo que permitió que el suplantador accediera a los datos bancarios de la reclamante.
Fundamentos de derecho
La Agencia Española de Protección de Datos (“AEPD”) considera que, aunque los servicios de atención al cliente se encontraban externalizados, la entidad bancaria tenía el deber, como responsable del tratamiento, de verificar de forma adecuada la identidad del interlocutor. La entidad bancaria, por su parte, reconoce el error, pero traslada la responsabilidad al proveedor por incumplir las instrucciones facilitadas por el mismo.
Respecto de esta alegación del banco, la AEPD insiste en que:
1. Es claro que la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable del tratamiento, que es quien determina la existencia del tratamiento y su finalidad.
2. El principio de responsabilidad proactiva impone a todo responsable del tratamiento una actitud consciente, diligente y proactiva frente a los tratamientos de datos que lleve a cabo; actitud que no se ha dado en este caso, al no asegurarse de que su proveedor cumpliera adecuadamente las medidas de seguridad y protocolos.
En definitiva, la AEPD concluye que el banco no obró con la diligencia a la que venía obligado. Entender lo contrario significaría que el responsable del tratamiento nunca se haría responsable de las actuaciones ilícitas que realizara su encargado de tratamiento. Por el contrario, el responsable sí responde de tales actuaciones.
Sanción
La AEPD considera que los hechos mencionados son constitutivos de una infracción imputable a la entidad bancaria por vulneración del art. 6 del Reglamento General de Protección de Datos, toda vez que el tratamiento de datos de la reclamante se llevó a cabo sin base legitimadora, al no haberse verificado correctamente que la persona a la que se facilitaban los datos era su titular, siendo de hecho, un tercero al que se le facilitaron ilícitamente los datos de la reclamante.
Por lo anterior, la AEPD impone al banco una sanción de 50.000 € (cincuenta mil euros).