La Agencia Española de Protección de Datos ha dictado resolución de archivo de actuaciones en el expediente EXP202406602 relativo a una reclamación interpuesta contra ING Bank N.V., Sucursal en España. La resolución resulta particularmente relevante por la aplicación de la reciente STJUE de 24 de septiembre de 2024 (asunto C-768/2021) sobre el margen de apreciación de las autoridades de control.
Hechos objeto de la reclamación:
El reclamante, antiguo cliente de ING Bank sin productos financieros activos, accedió a la web de clientes utilizando su DNI, fecha de nacimiento y contraseña. Al olvidar esta última e iniciar el proceso de recuperación, el sistema le ofreció enviar un código de desbloqueo a un número de teléfono móvil que no era de su titularidad. Al solicitar alternativamente el envío por correo postal, el sistema mostró un mensaje dirigido a una persona distinta con domicilio en otra provincia. El reclamante interpretó estos hechos como una posible suplantación de identidad.
ING Bank explicó que, al haber dejado el reclamante de ser cliente, sus datos personales se encontraban bloqueados conforme al artículo 32 de la LOPDGDD. Por este motivo, cuando inició el proceso de recuperación de contraseña, el sistema no localizó su DNI entre los clientes activos y le trató como “no cliente”, mostrándole datos correspondientes a otra persona que había utilizado credenciales similares.
Fundamento jurídico de la resolución:
La AEPD fundamenta su decisión de archivo en la STJUE de 24 de septiembre de 2024, que establece varios principios relevantes sobre la actuación de las autoridades de control.
En primer lugar, el Tribunal reconoce que el RGPD otorga a las autoridades de control un margen de apreciación en cuanto a la manera de subsanar las deficiencias constatadas, correspondiendo a estas la elección del medio adecuado y necesario tomando en consideración todas las circunstancias del caso concreto. No obstante, este margen está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas.
En segundo lugar, el TJUE declara que no puede deducirse del artículo 58.2 ni del artículo 83 del RGPD la existencia de una obligación de adoptar en todos los casos una medida correctora cuando se constate una violación de la normativa de protección de datos. El reclamante cuyos derechos han sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una sanción al responsable del tratamiento.
En tercer lugar, la sentencia admite que, con carácter excepcional y atendiendo a las circunstancias particulares del caso, la autoridad de control pueda abstenerse de adoptar medidas correctoras cuando la violación constatada no haya persistido, particularmente cuando el responsable del tratamiento haya adoptado, tan pronto como tuvo conocimiento de la infracción, las medidas adecuadas y necesarias para que esta finalice y no vuelva a producirse.
Aplicación al caso concreto:
La AEPD valora que ING Bank, tras conocer los hechos en mayo de 2024 mediante el traslado de la reclamación conforme al artículo 65.4 de la LOPDGDD, inició inmediatamente actuaciones para sustituir el sistema defectuoso. En julio de 2024, apenas dos meses después, había instaurado un nuevo sistema que no vincula datos inexactos en el proceso de recuperación de credenciales.
La resolución subraya que estas actuaciones se produjeron con carácter previo a la recepción del requerimiento de información en el marco de las actuaciones de investigación, manifestando la entidad su intención de realizar las modificaciones desde la contestación al traslado inicial. La AEPD considera que esta conducta resulta consonante con el principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD.
Asimismo, quedó acreditado documentalmente que los datos personales del reclamante se encontraban efectivamente bloqueados en el momento de los hechos, conforme a las obligaciones derivadas del artículo 17 del RGPD en relación con el artículo 32 de la LOPDGDD.
En consecuencia, atendiendo a la desaparición del sistema objeto de investigación y a la subsanación de la situación de posible incumplimiento, la AEPD considera que no procede el despliegue de sus poderes correctivos previstos en el artículo 58 del RGPD, acordando el archivo de las actuaciones.