El procedimiento sancionador contra Banco de Sabadell fue iniciado por la Agencia Española de Protección de Datos (AEPD) a raíz de una reclamación por posible tratamiento indebido de datos personales. Este caso involucraba la remisión de información personal sin consentimiento explícito a un tercero. Finalmente, tras analizar exhaustivamente las pruebas presentadas, la AEPD decidió archivar el expediente. A continuación, explicaremos en detalle los aspectos más relevantes de la reclamación, las alegaciones del banco y la resolución del caso.
Antecedentes del procedimiento sancionador contra Banco Sabadell
El expediente (EXP202203578) se origina a partir de una reclamación presentada el 21 de febrero de 2022 por D. A.A.A., en representación de sus padres. Los reclamantes denunciaron al Banco de Sabadell por haber compartido información personal de los titulares de la cuenta sin su consentimiento. En concreto, se trataba de datos relacionados con comisiones abusivas por la devolución de dos cheques. Según la reclamación, la información se remitió a la hija de los titulares de la cuenta, lo cual supuso una violación de la normativa de protección de datos.
El conflicto surgió cuando la directora de la sucursal remitió los recibos que contenían información personal de los titulares de la cuenta a la hija, C.C.C., sin contar con el consentimiento escrito de sus padres. Esta situación fue calificada como una posible violación del **Reglamento General de Protección de Datos (RGPD)**, al no haber mediado autorización explícita para la transferencia de dicha información.
Alegaciones presentadas por Banco Sabadell
En su defensa, el **Banco Sabadell** argumentó que los titulares de la cuenta, personas mayores que no utilizaban los canales digitales del banco, habían autorizado verbalmente a su hija, **C.C.C.**, para que gestionara las reclamaciones en su nombre. El banco alegó que la remisión de los documentos se realizó con la intención de facilitar la gestión a los clientes y evitar que tuvieran que acudir a la sucursal nuevamente.
El banco proporcionó diversas pruebas en su defensa, incluidas grabaciones de conversaciones telefónicas, correos electrónicos y otros documentos que, según la entidad, demostraban que la hija estaba autorizada por sus padres para actuar en su nombre.
- Correos electrónicos entre empleados del banco y la hija de los clientes, en los que se enviaba información relevante sobre las comisiones y otras gestiones.
- Grabaciones de llamadas telefónicas que mostraban la intervención directa de la hija en representación de sus padres.
- Conversaciones entre la gestora del banco y los titulares de la cuenta, en las que confirmaron verbalmente que su hija estaba autorizada para gestionar la reclamación.
- Documentación adicional que acreditaba que la hija, **C.C.C.**, ya había recibido previamente información sobre productos financieros relacionados con la cuenta de sus padres.
Fundamentos de la resolución del procedimiento sancionador: Análisis de la AEPD
Tras evaluar la documentación presentada por ambas partes, la **Agencia Española de Protección de Datos (AEPD)** concluyó que existía una **duda razonable** en relación con el consentimiento para el tratamiento de los datos. Aunque no se contaba con un consentimiento por escrito, las pruebas aportadas, como correos electrónicos y grabaciones, apoyaban la versión del banco de que los clientes autorizaron verbalmente la remisión de los documentos a su hija.
La AEPD subrayó que, en los procedimientos sancionadores de naturaleza administrativa, el principio de **presunción de inocencia** es clave. No se pudo establecer de manera concluyente que el banco hubiera actuado sin el consentimiento de los interesados, lo que debilitó la posibilidad de imponer una sanción.
- Consentimiento verbal: Las pruebas indicaban que los titulares de la cuenta dieron su consentimiento verbal para que su hija gestionara la reclamación en su nombre.
- Presunción de inocencia: En este tipo de procedimientos, la carga de la prueba recae en el reclamante. No se aportaron pruebas suficientes para refutar la versión del banco.
- Actuación razonable: El banco actuó siguiendo las instrucciones verbales de los clientes, lo que generó una duda razonable sobre la culpabilidad de la entidad.
Resolución final del procedimiento sancionador contra Banco Sabadell
El 10 de junio de 2024, la **Directora de la AEPD** resolvió **archivar el procedimiento sancionador** contra Banco Sabadell, S.A., al no haberse demostrado de manera concluyente una infracción del **artículo 5.1.f) del RGPD**, que establece la obligación de tratar los datos personales de forma que se garantice su seguridad y confidencialidad. Aunque no se presentó un consentimiento por escrito, la AEPD consideró que la evidencia aportada respaldaba la existencia de un consentimiento verbal, lo que generaba una **duda razonable** suficiente para evitar una sanción administrativa.
- No se acredita vulneración: No se pudo demostrar que el banco infringiera el RGPD al remitir los documentos a la hija de los clientes.
- Principio de presunción de inocencia: En los procedimientos administrativos sancionadores, prevalece la presunción de inocencia. En este caso, no se encontraron pruebas de cargo suficientes para sancionar a la entidad.
- Archivo del expediente: Debido a la falta de pruebas concluyentes, se decidió archivar el expediente y eximir al Banco de Sabadell de cualquier responsabilidad sancionable.