En la resolución de la AEPD se sanciona con 70.000€ a una entidad de crédito por el tratamiento de datos de forma ilícita sin el consentimiento del reclamante.
La Agencia Española de Protección de Datos recibió una reclamación por parte de una persona que alegaba, según el extracto de su tarjeta, de noviembre de 2021, que se habían confirmado dos retiradas de efectivo y dos pagos en Vigo realizados sin su autorización ni consentimiento, infringiendo la normativa de protección de datos personales.
Para realizar estos actos, el suplantador accedió al servicio de atención telefónica y modificó el número de teléfono móvil asociado al reclamante. Este cambio requería conocer datos, como nombre completo, DNI o tarjeta de residencia, fecha de nacimiento, domicilio y teléfono. Estos datos, aunque confidenciales, pueden ser relativamente accesibles para terceros malintencionados.
La investigación verificó que el suplantador alteró el número de contacto del reclamante sin su autorización, eliminando el número original y asignando otro. Este acto careció de cualquier legitimación prevista en el artículo 6.1 del RGPD, lo que supone un tratamiento ilícito de datos personales y una vulneración grave de los principios establecidos en la normativa europea de protección de datos.
IMPORTANTE
La sanción impuesta fue agravada por la intencionalidad; negligencia y la vinculación de la actividad del infractor con el tratamiento de datos personales.
La aplicación de medidas de seguridad técnicas y organizativas minimizan los riesgos de falta de confidencialidad, disponibilidad y tratamiento ilícito en los datos personales.
