Cetelem cobró diez veces a una persona la deuda de un desconocido. La AEPD le ha puesto una multa de 250.000 euros

La Agencia Española de Protección de Datos (APED) ha sancionado al banco Celetem con 250.000 euros por haber cobrado la deuda de un tercero desconocido a otra persona. Tal y como se recoge en la resolución (PDF), el denunciante recibió durante los años 2022 y 2023 diez recibos por la deuda de otra persona, algo que la AEPD considera un mal uso de los datos personales.

Los hechos. Según relata la resolución, el pasado 20 de octubre de 2023 el denunciante puso una reclamación ante la AEPD contra Celetem. Aparentemente, Cetelem estaba cargando en su cuenta bancaria "recibos de un préstamo de un tercero desconocido". Los primeros ocho cargos fueron en 2022 y fueron reclamados a Cetelem (logrando el reembolso). También se exigió la eliminación de los datos personales, algo que se hizo. Sin embargo, en septiembre y octubre de 2023 Cetelem volvió a cargar otros dos recibos.

Venta de datos. ¿Cómo se puede volver a hacer un cobro si los datos han sido eliminados? De acuerdo a Cetelem, el banco eliminó los datos tras la primera reclamación, pero "vendió la deuda a una tercera empresa en junio de 2023" y en ese contrato seguía figurando el número de la cuenta bancaria del afectado. Según el banco, "los cargos indebidos de 2022 y 2023 en la cuenta del reclamante se han debido a errores humanos".

¿Cómo llega ese número ahí? Esa es la clave del asunto. Aunque Cetelem achaca este problema a un error humano y a "errores en la transcripción inicial del número de cuenta", relata el escrito, "los dígitos de control de las cuentas bancarias prácticamente imposibilitan la “creación” por error de un número de cuenta auténtico". A ojos del reclamante, "este error se debe a que Celetem habría incorporado la cuenta bancaria del reclamante en el contrato de la deudora, sin asegurarse de la titularidad de la cuenta".

Un mal uso de los datos personales. Debido a que la persona afectada no es el titular de las deudas ni ha tenido relación contractual previa con el banco, la AEPD entiende que Cetelem "realiza este tratamiento sin licitud, al no disponer del consentimiento del interesado". Es decir, que el dato de la cuenta bancaria es, en este caso, un dato personal del que se ha hecho un mal uso.

Multa. Así pues, la AEPD ha decidido ponerle a Cetelem una multa de 250.000 euros a razón de 100.000 euros por haber usado un dato personal sin permiso explícito, 50.000 euros por la negligencia al haber eliminado el número de la base de datos, pero no del contrato con la empresa de deudas; y otros 100.000 euros porque Cetelem es una entidad bancaria y "reviste especial gravedad la obtención del número de la cuenta bancaria del reclamante, su mantenimiento, a pesar del derecho de supresión del interesado, y finalmente la cesión a un tercero sin comprobación efectiva de la exactitud de los datos".

Sin embargo, y dado que el banco no va a recurrir la sanción y la va a abonar en el plazo voluntario, la sanción ha quedado reducida a 150.000 euros.

Imagen | Cetelem

En Xataka | Ni la seguridad del banco es infalible: las cinco técnicas de los ciberdelincuentes para acceder a nuestro dinero