La Agencia de Protección de Datos multa a BBVA con 1,18 millones de euros por varias infracciones

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1,18 millones de euros a BBVA por la infracción de varios artículos del Reglamento General de Protección de Datos, según publica este jueves el Boletín Oficial del Estado (BOE), donde el organismo debe publicar todas las multas superiores al millón de euros cuando el infractor sea una persona jurídica. En concreto, según la resolución del organismo recogida en el BOE, el banco BBVA vulneró los artículos 25, 32 y 6.1 del Reglamento General de Protección de Datos, razón por la que ha sido multado con 1.184.000 euros. ¿Qué dicen los articulos infringidos por BBVA, según la AEPD? El primero de estos artículos, el 25, establece que los principios, derechos y obligaciones relativos a la protección de datos han de tenerse en cuenta «desde el diseño y por defecto». El artículo 32, por su lado, impone a los responsables del tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. Podría interesarle: Multan a TikTok por revelar datos de menores El artículo 83.4 establece multas administrativas de hasta 10 millones de euros o una cuantía equivalente de hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior si el infractor es una empresa. El artículo 83.5, por su lado, fija sanciones administrativas de hasta 20 millones de euros o, en el caso de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Desde BBVA, aseguran a Europa Press, su intención de recurrir la sanción por vía judicial. FUENTE: EP. »La Agencia de Protección de Datos multa a BBVA con 1,18 millones de euros por varias infracciones» Abc.es. 19/10/2023. (https://www.abc.es/economia/agencia-proteccion-datos-multa-bbva-118-millones-20231019114822-nt.html?ref=https%3A%2F%2Fwww.google.com%2F).
Protección de Datos en España, multa a BBVA con 140.000 euros por ceder al Banco de España información de una clienta

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros –84.000 finalmente por pago voluntario y reconocimiento de hechos– al banco BBVA por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD) relacionados con el tratamiento ilícito de datos y el derecho de acceso. Podría interesarle: EEUU evalúa medidas contra la empresa rusa de ciberseguridad Kaspersky Lab Pues bien, todo comenzó en noviembre de 2021. Una ciudadana acudió a la AEPD a poner una reclamación porque se había dado cuenta de que BBVA estaba tratando sus datos de forma incorrecta. El banco había facilitado datos suyos a la Central de Información de Riesgos del Banco de España (CIRBE) por dos supuestas deudas. Cuando se enteró de ello solicitó al banco el acceso a sus datos personales ya que, además, dejó de ser clienta de BBVA en el año 2012. En concreto, la usuaria solicitó datos relacionados con una copia de unas grabaciones, el extracto y liquidación de la supuesta deuda, justificantes de saldo y movimientos de la cuenta. BBVA dijo que era una deuda reclamada judicialmente BBVA respondió a la usuaria y le explicó que se trataba de una deuda vencida y exigible que estaba siendo reclamada judicialmente, que no procedía suprimir sus datos por mantener posiciones activas con la entidad y que necesitaban más información respecto a las grabaciones que quería para poder localizarlas. En relación con la Central de Información de Riesgos del Banco de España, le comunicaron que dicho asunto estaba siendo tratado en los expedientes y que le darían respuesta cuando finalizasen. Contenido relacionado: Crece el Open Banking: ¿Cuáles son los peligros en ciberseguridad? Tras conocer los hechos, la AEPD comenzó a investigar para determinar qué era lo que había ocurrido. Pues bien, en relación con las deudas inscritas en CIRBE, desde la AEPD descubrieron que una era de 1999 y otra de 2014 fueron tipificadas como “descubiertos en cuenta” y fueron perdonadas por el banco tras la reclamación impuesta ante el Banco de España y la AEPD. Respecto al ejercicio del derecho de acceso, la usuaria solicitó unas grabaciones de conversaciones telefónicas efectuadas entre 2016 y 2021. Pero esos archivos nunca llegaron. El banco continuó reiterando que, para poder localizarlos, necesitaba más información como, por ejemplo, las fechas concretas o el número exacto de llamadas. Pero a la reclamante esto no le pareció una excusa al considerar que debían de llevar un control de ellas. Se le impuso un agravante en la sanción Por estos hechos se le ha imputado la comisión de dos infracciones por vulneración de los artículos 6.1 (licitud del tratamiento) y 6.15 (derecho de acceso) del RGPD. Y para determinar la cuantía de la sanción, ha considerado, en calidad de agravante, “la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros”. Pues además, el banco no remitió toda la información solicitada por la usuaria. Así las cosas, le impuso una sanción de 70.000 euros por cada una de las dos infracciones, por lo que la cantidad total ascendía a 140.000 euros. Pero la AEPD le dio la opción de acogerse a dos reducciones si reconocía los hechos y procedía al pago voluntario. El banco decidió aceptarlo y finalmente han pagado 84.000 euros que fueron pagados el 30 de enero de 2023.
Evitar el robo de datos y qué hacer en caso de que se produzca

Resulta indudable que la información es uno de los activos más valorados por los ciberdelincuentes y que todos podemos ser víctimas de un robo de datos. La transformación digital ha propiciado que los ataques, que pueden afectar tanto a particulares como a empresas, sean cada vez más numerosos y sofisticados. A continuación se indican algunas de las medidas que el equipo de ciberseguridad de BBVA recomienda para evitar un robo de datos o para minimizar su impacto en caso de que se produzca. Los ciberdelincuentes pueden acceder a nuestros datos de múltiples formas. Una de las vías más comunes son los ataques de ingeniería social, entre los que podríamos destacar los ataques de ‘phishing’ y de ‘smishing’. Los ataques de phishing consisten en el envío de correos electrónicos fraudulentos que dirigen a la víctima a páginas web falsas donde se solicita información personal o bancaria o bien que redirigen a links o incluyen archivos adjuntos que permiten la instalación de software malicioso en los dispositivos de la víctima (PCs, portátiles, smartphones u otros). Los ataques de smishing, por otra parte, son ataques de ingeniería social que se realizan a través de mensajes SMS. En estos casos se suplanta la identidad de las empresas a través de mensajes de texto, con el mismo objetivo que los ataques de ‘phishing’. Además de los ataques de ‘phishing’ o ‘smishing’ existen otro tipo de situaciones en las que, sin ser conscientes, estamos regalando nuestros datos a los ciberdelincuentes. Podemos encontrar un claro ejemplo de ello en las redes sociales. Lea también: Consejos para avanzar hacia una organización protegida Redes sociales, un área apetecible para el robo de datos por parte de ciberdelincuentes Cuando utilizamos redes sociales, debemos ser conscientes de que todo lo que se publica en ellas permanece. Por eso es importante ser muy cautos con la información que publicamos. Personas que han publicado fotos con entradas de cine, de conciertos u otra clase de eventos, por ejemplo, se han llevado la desagradable sorpresa de que alguien había copiado los datos y había clonado sus entradas, dejando a la víctima a las puertas del evento. Así que antes de pensar en comprobar si nos han robado los datos, hemos de ser conscientes de que no tenemos que regalarlos. Debemos aplicar el sentido común y no compartir nunca: Fotos de nuestros documentos de identidad o de nuestras tarjetas de crédito. Nuestra dirección, ya sea física o de correo electrónico, o nuestra ubicación en un momento concreto (por ejemplo, publicando fotografías cuando nos vamos de vacaciones), que pueden mostrar que no nos encontramos en nuestro domicilio. Imágenes de documentos oficiales, como notificaciones, citaciones o recibos. Fotografías en las que se puedan ver notas con contraseñas, números de teléfono, direcciones o notas adhesivas con recordatorios. Nuestro número de teléfono. La matrícula de nuestro vehículo o una foto donde aparezca. Fotos o datos de personas menores de edad. Todos estos datos que facilitamos de forma proactiva pueden ser empleados por los ciberdelincuentes para realizar una investigación exhaustiva y acceder a mucha más información sobre nosotros, potenciales víctimas, permitiéndoles personalizar sus ciberataques, suplantar nuestra identidad o bien vender nuestra información al mejor postor. Debemos ser también muy cautelosos con la información que intercambiamos a través de redes WIFI públicas, evitando realizar pagos o introducir credenciales de acceso a servicios web o entornos profesionales. En la mayoría de las ocasiones estas redes son inseguras y pueden propiciar el acceso no autorizado a la información. Podría interesarle: 6 medidas de ciberseguridad para empresas en la vuelta a la rutina ¿Para qué se utilizan los datos robados? La información a la que los ciberdelincuentes acceden mediante este tipo de ataques puede ser empleada para diferentes fines, como los que se indican a continuación: Venta de la información a terceros. Suplantación de identidad, con objeto de obtener un beneficio, normalmente económico (como en el caso de la comisión de fraude). Realización de ataques de ingeniería social, incluso personalizados, utilizando datos robados. Creación de perfiles falsos en internet o redes sociales para realizar actos ilícitos (estafa, acoso, robo de datos, espionaje, entre otros). ¿Qué precauciones debemos adoptar para evitar un robo de datos? Para evitar este tipo de ataques es fundamental que adoptemos una serie de medidas preventivas, tanto para proteger nuestros dispositivos como para evitar accesos no autorizados a nuestra información. Entre ellas, podríamos destacar las siguientes: Garantizar que el sistema operativo de nuestros dispositivos y las aplicaciones que utilizamos se encuentran debidamente actualizados, con todos los parches de seguridad disponibles instalados. Utilizar siempre un software antivirus y mantenerlo actualizado. Comprobar la configuración de nuestros dispositivos y aplicaciones, seleccionando siempre las máximas medidas de seguridad disponibles. Configurar de forma adecuada los ajustes de seguridad y privacidad de las aplicaciones y servicios que utilicemos. Revisar el navegador y la dirección URL de las páginas que visitamos, comprobando que empiecen por ‘https’ y que muestran el icono de un candado. Desconfiar siempre de correos electrónicos inesperados o de remitentes no habituales, así como de solicitudes de información urgentes. No usar redes WIFI públicas para realizar compras por Internet, tratar datos personales o descargar aplicaciones. ¿Cómo puedo saber si han robado mis datos? Es importante comprobar de manera activa, de forma periódica, si nuestros datos han podido ser robados. Existen páginas en las que se puede realizar esta comprobación, como la página web ‘Have I been pwned?’ En esta página, con solo introducir nuestro correo electrónico o número de teléfono, podemos saber si nuestros datos aparecen en alguna de las grandes filtraciones que circulan por los entornos criminales. Y lo que es más importante: también podemos saber, exactamente, qué datos han sido robados. Esto nos permitirá delimitar la gravedad y el alcance de la filtración y, en base a ello, las acciones que debemos adoptar para minimizar su impacto. No es lo mismo que se filtre nuestro correo electrónico, hecho que supondría un incómodo aumento del correo no deseado o de los intentos de ‘phishing’, a que se filtren contraseñas o datos de nuestras tarjetas de crédito, en cuyo caso deberíamos cambiar las contraseñas o bloquear las tarjetas de forma inmediata. FUENTE: Gil Laredo, Vanessa. »Cómo evitar el robo de datos (phishing, smishing, uso