Empresas y privacidad: Lecciones del caso BBVA ante la AEPD, para tomar en cuenta en Chile.

La protección de datos personales sigue siendo un desafío crítico para las empresas en la era digital. Un ejemplo reciente lo encontramos en el procedimiento sancionador seguido por la Agencia Española de Protección de Datos (AEPD) contra el Banco Bilbao Vizcaya Argentaria (BBVA). Este caso ilustra los riesgos y responsabilidades que enfrentan las organizaciones cuando no implementan prácticas de protección adecuadas.

¿De qué trató el caso?

Una empleada del BBVA, tras finalizar su relación laboral en septiembre de 2021, adquirió su terminal corporativo para uso personal. Sin embargo, en junio de 2022, el dispositivo fue bloqueado y sus datos personales eliminados, ya que la empresa lo había mantenido vinculado a su plataforma corporativa. Esto se realizó sin una base legal que lo legitimara, violando el artículo 6.1 del Reglamento General de Protección de Datos (RGPD).

La afectada denunció el incidente al Delegado de Protección de Datos del banco, quien confirmó que no era posible recuperar la información personal eliminada. Esta situación derivó en una reclamación ante la AEPD, que impuso una sanción económica de 200.000 euros al banco, reducida posteriormente a 120.000 euros tras el reconocimiento de responsabilidad.

Obligaciones incumplidas

1. Licitud del tratamiento (artículo 6.1 del RGPD): El banco no justificó adecuadamente la base legal para mantener el control sobre un terminal ya adquirido por la ex empleada para uso personal.

2. Principio de minimización de datos: No se limitaron los tratamientos al ámbito estrictamente corporativo, afectando información privada sin justificación legal.

3. Gestión negligente de la transición de dispositivos: No se implementaron procedimientos claros para desvincular aplicaciones y configuraciones corporativas antes de transferir la propiedad del terminal.

¿Qué podría ocurrir en Chile?

De haber ocurrido este caso en Chile bajo el marco de la reforma a la Ley 19.628, la empresa podría enfrentarse a sanciones económicas significativas. Al estar frente a una infracción de carácter grave podría significar una multa de hasta 10.000 UTM, valor que podría incrementarse, en caso de reincidencia, hasta 30.000 UTM o al 2% de los ingresos anuales por ventas, servicios y otras actividades del giro registradas en el último año calendario.

Lecciones aprendidas

1. Establecer protocolos claros para terminales corporativos: Cuando un dispositivo cambia de propiedad, debe garantizarse la eliminación exclusiva de datos corporativos, respetando la información personal del nuevo propietario.

2. Cumplir con el principio de licitud y proporcionalidad: Cualquier tratamiento de datos debe estar respaldado por una base legal específica y proporcional al fin perseguido. Mantener el control sobre un dispositivo personal sin justificación válida constituye una infracción grave.

3. Capacitación continua en protección de datos: Las empresas deben formar a su personal sobre la normativa vigente, asegurando que las prácticas de tratamiento se ajusten al RGPD y a las leyes locales.

4. Delegados de Protección de Datos (DPD) activos y efectivos: La figura del DPD es clave para supervisar las operaciones de tratamiento y gestionar reclamaciones. En este caso, una respuesta más proactiva pudo haber evitado la sanción.

Conclusión

El caso BBVA evidencia cómo una mala gestión en la protección de datos puede derivar en sanciones económicas significativas y en un daño reputacional de gran magnitud. Invitamos a las empresas a aprovechar casos como este para reflexionar y fortalecer sus políticas de privacidad y ciberseguridad.

¡La prevención y la proactividad son la clave para evitar errores costosos!

Para ver la sentencia completa haz click en el siguiente link: https://www.aepd.es/documento/ps-00277-2024.pdf