Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 120 000 euro mot Banco Bilbao Vizcaya Argentaria S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD mot Banco Bilbao Vizcaya Argentaria. Banco Bilbao Vizcaya Argentaria uppmanade ASNEF-Equifax, som samlar in uppgifter om personers betalningsförmåga, att inkludera den registrerades uppgifter om en kreditkortsskuld i sina register. Den registrerade hävdade att detta skedde utan föregående meddelande eftersom den postadress som ASNEF-Equifax skulle skicka meddelandet till var ofullständig och inte den registrerades exakta adress. Den registrerade fick kännedom om behandlingen först när denne nekades krediter från andra finansinstitut.
Enligt ASNEF-Equifax har företaget skickat ett meddelande till den registrerade om att denne fanns med i deras register. Meddelandet skickades till den adress som Banco Bilbao Vizcaya Argentaria har undertecknat. Detta var den adress som Banco Bilbao Vizcaya Argentaria registrerat som den registrerades och som banken skickat betalningskrav till för det aktuella kreditkortet. ASNEF-Equifax fick dock tillbaka den utskickade aviseringen på grund av felaktig postadress. ASNEF-Equifax begärde då en bekräftelse av postadressen från Banco Bilbao Vizcaya Argentaria, som uppgav att adressen var korrekt.
Genom att inte tillhandahålla den registrerades exakta adress orsakade Banco Bilbao Vizcaya Argentaria den registrerade en allvarlig skada, eftersom den registrerade inte fick kännedom om att denne registrerats i ASNEF-Equifaxs register. AEPD konstaterade därför att Banco Bilbao Vizcaya Argentaria brutit mot principen om korrekthet enligt artikel 5.1 (d) GDPR. Sanktionsavgiften uppgick ursprungligen till 200 000 euro, men sänktes till 120 000 euro efter att Banco Bilbao Vizcaya Argentaria gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.