La Agencia Española de Protección de Datos (AEPD) ha resuelto el expediente EXP202315107, sancionando a Ibercaja Banco, S.A. con una multa de 42.000 euros por vulnerar el principio de confidencialidad en el tratamiento de datos personales durante las operaciones de transferencias bancarias.
Los hechos que motivaron la reclamación
El caso se originó cuando un cliente de Ibercaja realizó una transferencia el 8 de mayo de 2023 a través de la banca digital a favor de un cliente de otra entidad bancaria. El beneficiario de la transferencia recibió un justificante que incluía, en un apartado denominado “Ampliación remitente de la transferencia”, el domicilio postal completo del ordenante de la transferencia (calle, número, piso, letra, código postal y ciudad).
La parte reclamante consideró que esta práctica constituía una vulneración de los artículos 5 y 6 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales, al facilitar datos personales sin consentimiento.
La respuesta inicial de Ibercaja
Ibercaja defendió inicialmente que la transferencia se realizó conforme al marco contractual existente con el cliente y en cumplimiento del Real Decreto-ley 19/2018 de servicios de pago. La entidad argumentó que la operación se enmarcaba en la normativa SEPA (Single Euro Payments Area) y que seguía los protocolos establecidos para transferencias entre proveedores de servicios de pago.
La investigación de la AEPD
Durante las actuaciones de investigación, la AEPD solicitó información tanto a Ibercaja como a CaixaBank (entidad receptora) sobre los procedimientos de transferencias. Los principales hallazgos fueron:
Campos obligatorios en transferencias SEPA
Según la normativa SEPA, los campos obligatorios para realizar una transferencia son:
- IBAN de la cuenta ordenante y beneficiario
- Importe de la transferencia
- Concepto
- Denominación del beneficiario
Información adicional no requerida
La investigación reveló que la dirección del ordenante no es un campo obligatorio en las transferencias SEPA, salvo cuando el PSP (Proveedor de Servicios de Pago) ordenante o beneficiario se encuentre en un país no perteneciente al Espacio Económico Europeo, circunstancia que no se daba en este caso.
Normativa aplicable
La AEPD analizó el “Scheme Rulebook de transferencias SEPA” (versión vigente desde enero de 2022), que regula la información que puede incluirse en los mensajes entre PSP. Según esta normativa:
- La dirección del ordenante puede incluirse como información adicional
- Esta información se transmite para la ejecución de la transferencia, no para la confección del justificante al beneficiario
- El documento especifica que la información que el PSP beneficiario debe proporcionar al cliente no incluye la dirección del ordenante
La vulneración del principio de confidencialidad
La AEPD determinó que Ibercaja vulneró el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que establece el principio de integridad y confidencialidad. Este principio exige que los datos personales sean:
“tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito”
Elementos clave de la infracción
- Falta de base legal: No existía justificación para incluir la dirección del ordenante en el justificante al beneficiario
- Incumplimiento de la normativa sectorial: La normativa SEPA no requiere ni contempla la inclusión de esta información en los justificantes
- Exposición innecesaria de datos: Se facilitaron datos personales a un tercero sin que fuera necesario para la operación
El procedimiento sancionador
Tipificación de la infracción
La infracción se tipificó como:
- Artículo vulnerado: 5.1.f) del RGPD (principio de confidencialidad)
- Tipificación: Artículo 83.5.a) del RGPD
- Calificación: Muy grave según el artículo 72.1.a) de la LOPDGDD
- Prescripción: Tres años
Criterios de graduación
Para determinar la sanción, la AEPD consideró:
Factores agravantes:
- Vinculación de la actividad del infractor con tratamientos de datos personales (art. 76.2.b LOPDGDD)
Factores atenuantes:
- La infracción afectó únicamente a un interesado
- Los datos expuestos eran de naturaleza básica (dirección postal)
- El acceso a los datos se limitó a una única persona (el beneficiario)
Sanción económica y reducciones
- Sanción inicial propuesta: 70.000 euros
- Reconocimiento de responsabilidad: Reducción del 20%
- Pago voluntario: Reducción adicional del 20%
- Sanción final: 42.000 euros
Medidas correctivas
Además de la sanción económica, la AEPD ordenó a Ibercaja adoptar medidas adecuadas para garantizar la confidencialidad de los datos personales conforme al artículo 5.1.f) del RGPD, otorgando un plazo de 3 meses para su implementación.
Reconocimiento de responsabilidad
Ibercaja procedió al pago voluntario de la sanción el 7 de junio de 2025, lo que implicó el reconocimiento de la responsabilidad en relación con los hechos descritos y la terminación del procedimiento conforme al artículo 85 de la Ley 39/2015.
Este caso ilustra la importancia de que las entidades financieras revisen sus procedimientos de tratamiento de datos personales, especialmente en operaciones rutinarias como las transferencias bancarias, para asegurar que solo se procesan y comunican los datos estrictamente necesarios para la prestación del servicio.
