La entidad financiera hostigó a una persona durante meses, mediante llamadas y mensajes de texto, exigiendo cobrar una deuda inexistente
La sucursal española de RCI Banque ha sido sancionada con una multa de 20.000 euros por la Agencia Española de Protección de Datos debido a una violación del derecho de supresión de datos personales (artículo 17 del RGPD). La entidad financiera hostigó a una persona, mediante llamadas y mensajes de texto, en un intento de cobrar una deuda. A pesar de que esta persona no tenía ninguna relación con la empresa financiera y su número de teléfono estaba asociado erróneamente a un contrato, la entidad continuó acosándola sin cesar, incluso después de ser advertida por el afectado.
1La deuda estaba relacionada con la supuesta financiación de un vehículo que nunca existió
La persona afectada fue exigida a pagar una deuda pendiente relacionada con la financiación de un vehículo, a pesar de que nunca había firmado ningún contrato con la empresa ni tenía ninguna deuda con ellos. Además, la entidad amenazaba con incluir sus datos en ficheros de solvencia patrimonial. Desde julio de 2020 hasta abril de 2021, esta persona recibió constantemente llamadas y mensajes de texto, a pesar de que en agosto de 2020 el afectado envió una carta a la entidad informando del acoso que estaba sufriendo debido a una deuda inexistente y solicitando la eliminación de sus datos personales.
La respuesta de RCI Banque fue simplemente que «con los datos proporcionados, no aparece ninguna persona como cliente de esta entidad». Sin embargo, el acoso continuó. La misma respuesta recibió la Agencia Española de Protección de Datos en su primer requerimiento. Finalmente, cuando se volvió a proporcionar el número de teléfono, este fue eliminado de los registros de la entidad.
2La financiera no detectó el error porque ni siquiera verificó los datos al dar de alta un contrato con uno de sus cliente
¿Qué sucedió en realidad? El apoderado de la entidad jurídica titular del contrato de préstamo, la verdadera deudora, modificó uno de los números de contacto en sus datos y agregó el del reclamante, quien no tenía ninguna relación comercial con la entidad. Normalmente, cuando se registran los números, la entidad procede a verificarlos, pero en este caso, eso no ocurrió.
3La entidad ignoró las cartas y comunicaciones del afectado comunicando el error y no verificó la situación y la identidad del auténtico deudor
La Agencia Española de Protección de Datos (AEPD) ha determinado que los hechos constituyen una violación de la normativa de protección de datos personales, específicamente en relación al derecho de supresión establecido en el artículo 17 del Reglamento General de Protección de Datos (RGPD). Según la resolución, la documentación del expediente muestra indicios claros de que la entidad infractora no cumplió con el derecho de supresión, a pesar de alegar lo contrario, ya que continuó tratando los datos del reclamante.
Se destaca que la entidad no ha seguido el principio de responsabilidad proactiva ni ha demostrado una actitud consciente y diligente al ignorar la carta enviada por el reclamante y no verificar la situación y la identidad del supuesto deudor. La resolución también señala que los procedimientos internos o protocolos de actuación de la entidad fueron ineficaces y no detectaron que los datos proporcionados por el reclamante no pertenecían al verdadero deudor.
Durante el proceso, RCI Banque afirmó inicialmente que no tenía constancia de que el titular de la línea telefónica se hubiera comunicado con la entidad o presentado reclamación alguna. Sin embargo, más tarde argumentó que había respondido a la carta presentada por el afectado y que, por lo tanto, no debería ser sancionado por falta de respuesta. La AEPD señala que la cuestión en disputa es que el derecho de supresión no se cumplió, ya que el tratamiento de datos continuó a pesar de las cartas enviadas, lo cual implica una obstrucción y falta de atención repetida a su ejercicio.
La sanción impuesta por la AEPD asume como agravantes la naturaleza, gravedad y duración de la acción, así como el carácter continuado de la infracción y el hecho de que la entidad infractora se dedica al tratamiento de datos de clientes y terceros. En consecuencia, se impone una multa de 20.000 euros, y la resolución puede ser apelada ante la Audiencia Nacional.