Ibercaja ha sido multada con 100.000 euros por la Agencia Española de Protección de Datos (AEPD) debido a su uso no autorizado de información personal de terceros, lo que viola el artículo 6.1 y 83.5 del Reglamento General de Protección de Datos (RGPD).
La investigación que llevó a la sanción comenzó después de que una persona afectada presentara una queja en marzo de 2021. Descubrió que Ibercaja había compartido sus datos personales y los de sus hijos menores de edad con el abogado de otros herederos durante el proceso de tramitación de una herencia familiar.
Según la afectada, Ibercaja utilizó sus datos y los de sus hijos para elaborar un documento privado de participación de bienes. La persona que reclamó no sabía de la existencia de dicho documento, aunque aparecían sus datos personales y los de sus hijos. Además, afirmó que Ibercaja había abierto una cuenta bancaria a su hijo para la disposición de los fondos de la herencia sin previa notificación ni consentimiento por parte de ellos.
La persona que presentó la queja afirmó que Ibercaja había entregado sus datos personales, los de sus hijos y los de su difunto esposo (incluyendo DNI, libro de familia, certificado de defunción y cuenta bancaria) al abogado de los demás herederos, quien luego los habría entregado a la compañía de seguros con la que el fallecido tenía un seguro de vida. Sin embargo, no se pudo demostrar la veracidad de esta afirmación.
En las primeras etapas de la investigación, la Agencia envió la queja a Ibercaja y le concedió un período para presentar argumentos en su defensa. El banco explicó que las participaciones del fondo de inversión que se asignaron a los herederos debían ser transferidas a cada uno de ellos con el valor liquidativo que tenían en la fecha del fallecimiento, para evitar la creación de plusvalías.
El banco Ibercaja afirmó que para evitar la creación de plusvalías, las participaciones del fondo de inversión asignadas a los herederos debían ser transferidas a cada uno de ellos con el valor liquidativo que tenían en la fecha del fallecimiento. Para esto, se debía abrir una cuenta de administración y custodia a nombre de cada heredero (cuenta de valores), pero la reclamante no había firmado el documento de aceptación y adjudicación, lo que impedía el reparto.
La Agencia Española de Protección de Datos (AEPD) constató que el banco no tenía autorización para abrir estas cuentas bancarias y, a pesar de que el banco afirmó que era necesario para repartir la herencia y que la reclamante había solicitado el proceso a través de su abogado en 2020, la Comisión Nacional del Mercado de Valores (CNMV) resolvió que las cuentas se podían abrir en cualquier banco elegido por los herederos.
Además, las cuentas se abrieron en una sucursal de Teruel, a pesar de que la afectada residía en Zaragoza. Debido a que el banco no tenía el documento de aceptación y adjudicación firmado por todos los herederos, la Agencia consideró que la apertura de cuentas sin consentimiento no estaba justificada y, en consecuencia, ha impuesto una multa de 100.000 euros al banco por infringir el artículo 6.1 y 83.5 del Reglamento General de Protección de Datos (RGPD).
El banco puede recurrir esta multa ante la Sala de lo Contencioso de la Audiencia Nacional.
