Openbank debió implantar medidas técnicas y organizativas para alcanzar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los afectados, como un mecanismo de cifrado o la carga directa en el portal web.— Agencia Española de Protección de Datos (AEPD)
La Agencia Española de Protección de Datos sancionó a Openbank con 2,5 millones de euros en julio de 2023, en una de las multas más elevadas impuestas a un banco digital en España. El motivo: Openbank exigía a sus clientes enviar documentación financiera sensible únicamente por correo electrónico ordinario, sin cifrado ni canal seguro alternativo. La AEPD consideró que esto vulneraba los artículos 25 y 32 del RGPD, que obligan a implementar "privacidad desde el diseño" y medidas técnicas adecuadas al riesgo. Lo más significativo: el propio banco reconocía en su Evaluación de Impacto el alto riesgo de este tratamiento, pero no había tomado medidas para mitigarlo.
Un cliente de Openbank residente en Alemania recibió cantidades en su cuenta que el banco consideró sospechosas bajo la normativa PBCyFT. Openbank le exigió acreditar el origen de esos fondos. El cliente solicitó un canal seguro para enviar esa documentación sensible. El banco respondió que el único medio era el email ordinario. El cliente tuvo que enviar información financiera altamente sensible por email sin cifrar. Presentó reclamación ante la autoridad de Baviera, que la transfirió a la AEPD en agosto de 2021.
La AEPD argumentó que los datos sobre el origen de los ingresos bancarios permiten determinar la situación financiera y solvencia de una persona, requiriendo protección reforzada. El Art. 25 RGPD obliga a implementar medidas desde el diseño, como cifrado de extremo a extremo o carga directa en el portal web. El Art. 32 RGPD exige medidas adecuadas al riesgo real evaluado. El banco había evaluado el riesgo como "alto" en su propia EIPD pero no lo había incorporado al tratamiento.
Si Openbank te ha bloqueado la cuenta y te pide documentación para justificar tus ingresos, tienes derecho a exigir un canal seguro y cifrado para enviarla. Remitirla por email ordinario es legalmente cuestionable desde esta resolución. Esta multa acredita además que Openbank tiene un patrón documentado de incumplimiento del RGPD en sus relaciones con clientes afectados por bloqueos relacionados con la normativa PBCyFT.
| Órgano | Agencia Española de Protección de Datos (AEPD) |
| Referencia | PS/00331/2022 |
| Fecha | 17/07/2023 |
| Entidad | Openbank |
| Condena | 2.500.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Art. 25 RGPD (privacidad desde el diseño), Art. 32 RGPD (seguridad del tratamiento) |
📄 Fuente oficial:
Ver fuente →La Agencia Española de Protección de Datos sancionó a Openbank con 2,5 millones de euros en julio de 2023, en una de las multas más elevadas impuestas a un banco digital en España. El motivo: Openbank exigía a sus clientes enviar documentación financiera sensible únicamente por correo electrónico ordinario, sin cifrado ni canal seguro alternativo. La AEPD consideró que esto vulneraba los artículos 25 y 32 del RGPD, que obligan a implementar "privacidad desde el diseño" y medidas técnicas adecuadas al riesgo. Lo más significativo: el propio banco reconocía en su Evaluación de Impacto el alto ri…
La AEPD argumentó que los datos sobre el origen de los ingresos bancarios permiten determinar la situación financiera y solvencia de una persona, requiriendo protección reforzada. El Art. 25 RGPD obliga a implementar medidas desde el diseño, como cifrado de extremo a extremo o carga directa en el portal web. El Art. 32 RGPD exige medidas adecuadas al riesgo real evaluado. El banco había evaluado el riesgo como "alto" en su propia EIPD pero no lo había incorporado al tratamiento.
Si Openbank te ha bloqueado la cuenta y te pide documentación para justificar tus ingresos, tienes derecho a exigir un canal seguro y cifrado para enviarla. Remitirla por email ordinario es legalmente cuestionable desde esta resolución. Esta multa acredita además que Openbank tiene un patrón documentado de incumplimiento del RGPD en sus relaciones con clientes afectados por bloqueos relacionados con la normativa PBCyFT.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.