Falsificar la firma de la LOPD de un cliente: 200.000€ de multa

Falsificar la firma de la LOPD de un cliente supone una vulneración grave de la normativa de protección de datos y puede ser sancionado con elevadas multas

Para muchas empresas, obtener el consentimiento de sus clientes a su política de tratamiento de datos personales es un engorro. Sobre todo, si no emplean software de gestión que permiten automatizar este proceso y supervisar que todos los clientes han otorgado su consentimiento al tratamiento de datos.

De ahí que no deba sorprendernos que, por desgracia, algunos trabajadores opten por falsificar la firma de la LOPD de un cliente para avanzar en el proceso de contratación de un determinado servicio.

Esto es lo que sucedió en una oficina bancaria del BBVA, una de las mayores entidades financieras de nuestro país. Un gestor decidió falsificar la firma de la LOPD de dos clientes, de tal forma que el banco tenía en su poder un documento en el que se otorgaba, supuestamente, el consentimiento a que se usaran los datos de los clientes:

• Con fines comerciales.
• Para elaborar perfiles.

Sin embargo, tal consentimiento no tuvo lugar y, por ende, el tratamiento de los datos personales de los clientes fue ilícito.

La licitud del tratamiento de datos según el RGPD

Precisamente, la licitud del tratamiento de datos es uno de los pilares sobre los que se asienta la norma más importante en torno a la protección de datos en la Unión Europea: el RGPD.

Dicho reglamento europeo establece en su artículo 6 que el tratamiento de datos personales solo es lícito si se cumple, por lo menos, alguna de estas seis condiciones:

1. El interesado da su consentimiento expreso para el tratamiento de sus datos personales para uno o varios fines concretos, como podría ser el envío de comunicaciones comerciales.
2. El tratamiento es necesario para ejecutar un contrato suscrito por el interesado o para aplicar medidas precontractuales solicitadas por el interesado.
3. Es necesario tratar los datos personales del interesado para que el responsable del tratamiento pueda cumplir una obligación legal.
4. El tratamiento se debe llevar a cabo para salvaguardar intereses vitales del interesado o de otra persona.
5. El tratamiento de datos ha de realizarse para cumplir una misión de interés público.
6. El tratamiento es necesario «para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero».

A la luz de este listado, parece evidente que falsificar la firma de la LOPD de un cliente no es una acción protegida por ninguna de estas condiciones.

¿A cuánto pueden ascender las sanciones por falsificar la firma de la LOPD de un cliente?

El RGPD de datos es extraordinariamente severo en lo que respecta a la ilicitud del tratamiento de datos. Por eso, se establecen sanciones máximas de hasta 20 millones de euros o el 4% del volumen de negocio a nivel mundial de la empresa incumplidora.

Evidentemente, es improbable que la autoridad de control, en el caso de España, la Agencia Española de Protección de Datos (AEPD), imponga una multa en su cuantía máxima. Esto es así porque a la hora de fijar la sanción se deben tener en cuenta:

• La naturaleza gravedad y duración de la infracción.
• El propósito del tratamiento, el número de personas afectadas y los daños causados.
• La intencionalidad o negligencia de la empresa a cargo del tratamiento.
• Las medidas puestas en marcha por la compañía para mitigar el daño.
• El nivel de responsabilidad de la empresa en función de las medidas técnicas u organizativas que pusiese en marcha en materia de protección de datos.
• La reincidencia.
• El nivel de cooperación con la AEPD.
• La tipología de los datos personales que se hubiesen visto afectados por el tratamiento ilícito.
• Si la infracción fue notificada por la propia compañía o por personas afectadas.
• Otros factores agravantes como los posibles beneficios económicos obtenidos por la compañía gracias a la infracción cometida.

Este tipo de infracción prescribe a los tres años.

BBVA multado con 200.000€ por falsificar la firma de la LOPD de un cliente

Habida cuenta de lo establecido en el RGPD, la AEPD decidió multar con 200.000€ a BBVA porque un profesional de la entidad procediese a falsificar la firma de la LOPD de dos clientes, un hecho reconocido por la propia compañía.

¿Qué tuvo en cuenta la AEPD para decidir imponer a BBVA una cuantía tan elevada?

1. Falsificar la firma de la LOPD de un cliente es una acción grave porque «supone la suplantación de identidad».
2. BBVA es reincidente a la hora de incumplir la normativa de protección de datos. En la resolución de la AEPD se recuerda que solo en el último año, se le impusieron hasta cuatro sanciones.
3. La entidad financiera realiza de forma habitual «un elevado volumen de tratamientos de datos personales».

Como, finalmente, BBVA reconoció su responsabilidad y decidió pagar la multa de forma voluntaria, el importe de la sanción quedó rebajado hasta los 120.000€.

No estamos, como en el caso de las mayores multas de protección de datos en España en 2025, ante una sanción millonaria, pero desde luego es una cifra notable y, sobre todo, supone un aviso a navegantes: falsificar la firma de la LOPD de un cliente sale caro.

Usar un software de gestión para agilizar la firma de la LOPD de un cliente y evitar multas

¿Qué lecciones podemos extraer de este caso más allá de que falsificar la firma de la LOPD de un cliente es una práctica que contraviene la buena fe en la relación con los clientes y la normativa de protección de datos?

Es importante que las empresas cuenten con mecanismos que faciliten la firma del consentimiento a la política de tratamiento de datos.

En este sentido, hoy en día, las pymes y los autónomos pueden asegurarse de que cumplen la normativa de protección de datos implementando un software de gestión en sus negocios y empleando esta solución para gestionar las relaciones con sus clientes y el cumplimiento de sus obligaciones legales. ¿Por qué? Los programas de gestión más completos permiten:

• Trabajar con plantillas predefinidas para automatizar la creación de documentos con la política de tratamiento de datos, incorporando automáticamente la información de cada cliente.
• Enviar los documentos LOPD a través de un enlace por email o WhatsApp para que los clientes los firmen desde su móvil o su ordenador haciendo un simple clic.
• Mostrar los documentos LOPD en una tablet en la propia sede del negocio para que el cliente lo firme in situ.
• Guardar automáticamente los documentos LOPD firmados por los clientes y mantenerlos seguros y accesibles por si es necesario emplearlos como pruebas si alguien denuncia que se ha procedido a falsificar la firma de la LOPD.
• Visualizar en la ficha de cada cliente si firmó la LOPD. De tal forma que no se realice ninguna acción con sus datos sin verificar de una forma ágil y sencilla que ha prestado su consentimiento.
• Enviar comunicaciones comerciales solo a los clientes que han prestado su consentimiento a recibirlas.
• Controlar en una única pantalla el estado de la firma de la LOPD de todos los clientes.
• Enviar recordatorios automáticos a los clientes que aún no han prestado su consentimiento.

En definitiva, falsificar la firma de la LOPD es una actuación completamente prohibida, incluso cuando la realiza un trabajador sin el conocimiento de su empresa. Por eso, los negocios deben implementar mecanismos sencillos para agilizar la firma de la LOPD por parte de los clientes y facilitar el día a día de los profesionales. De lo contrario, se exponen a conflictos con los clientes y a cuantiosas sanciones de la AEPD.