La noticia sacudió los cimientos de la ciberconfianza financiera como un seísmo digital: el BBVA, uno de los bancos más relevantes del sistema financiero español, ha sido sancionado con 200.000 euros por haber falsificado las firmas manuscritas de dos clientes en documentos que daban consentimiento para el tratamiento de sus datos personales. En plena era de la inteligencia artificial, blockchain y validación biométrica, este caso parece un anacronismo; sin embargo, refleja una realidad inquietante: la tecnología avanza, pero la ética del dato todavía tiene agujeros que ningún cortafuegos puede contener.
¿Firmar por el cliente? “Lo hacemos para agilizar”
La historia es tan sencilla como perturbadora. Un matrimonio acude al banco para informarse sobre un préstamo hipotecario. Tiempo después, descubren que su consentimiento para el tratamiento de datos personales con fines comerciales —incluyendo elaboración de perfiles y cesión a empresas colaboradoras— había sido formalizado sin su conocimiento. Las firmas que figuran en el documento no son suyas. Cuando reclaman, el empleado responde con una naturalidad escalofriante: “esto es habitual, lo hacemos para agilizar los trámites”.
No se trata de un error técnico, ni de una disfunción del sistema, ni de una laguna legal: se trata de una usurpación de identidad documental ejecutada desde dentro del sistema, con la banalidad de quien pulsa un botón sin medir sus consecuencias. Y esto, en un banco con procesos automatizados, departamentos de compliance, auditorías internas y, sobre todo, acceso masivo a datos personales de millones de ciudadanos.
Los operarios del BBVA, olvidan que el consentimiento no es un trámite, es un blindaje. En el ecosistema normativo que impone el Reglamento General de Protección de Datos (RGPD), el consentimiento no es un formalismo administrativo. Es la base legal que autoriza cualquier tratamiento de información personal, desde un número de DNI hasta los ingresos mensuales, pasando por el estado civil o la dirección. Sin consentimiento, el sistema no se legitima: se hackea a sí mismo.
Cuando BBVA admite que “el gestor no respetó el procedimiento” y que “fue un caso aislado”, no solo está reconociendo el fallo, sino desvelando una brecha mucho más profunda: la desalineación entre los protocolos tecnológicos diseñados para proteger datos y las prácticas humanas que los vulneran.
Tecnología sin ética es una amenaza silenciosa. Resulta paradójico que en pleno 2025, mientras se discuten las posibilidades del consentimiento digital inalterable mediante blockchain, los bancos todavía permitan a empleados firmar físicamente por clientes. En un entorno bancario donde se exploran soluciones de IA explicativa, biometría comportamental y smart contracts, un caso como este no es un simple fallo humano: es una señal de alerta sobre el desfase entre tecnología de vanguardia y cultura organizacional.
El BBVA ha invertido millones en automatización, digitalización de servicios y ciberseguridad. Pero todo ese arsenal tecnológico queda neutralizado si el factor humano —el verdadero eslabón débil— actúa fuera del marco de la legalidad. La confianza, una vez quebrada, no se repara con software.
Firmas falsas propiciadas por los empleados del BBVA en la era del dato como activo, un peligro a tener en cuenta por quienes cuestionan el patrimonio económico de los clientes y lo más preocupante del caso no es solo la falsificación de las firmas, sino lo que esas firmas habilitaban: el tratamiento de los datos personales con fines comerciales, elaboración de perfiles y cesión a terceros. Cada clic, cada transacción, cada análisis de comportamiento financiero puede ser objeto de análisis por algoritmos que definen riesgos, conceden créditos o segmentan campañas de marketing.
Cuando un banco actúa sin consentimiento y lo disfraza como un “error aislado”, está activando un ecosistema de decisiones automáticas sin legitimación legal. ¿Cómo se puede garantizar la trazabilidad del dato si el punto de origen —la firma del consentimiento— ha sido manipulado?
No estamos ante un fallo de tecnología, sino ante un fallo de gobernanza del dato.
Para que casos como este no se repitan, se deben implementar soluciones de validación que trasciendan la firma manuscrita, incluyendo:
- Consentimiento basado en blockchain: contratos inteligentes que registran de forma inmutable cuándo y cómo se otorgó el permiso.
- Autenticación biométrica en firma de contratos, eliminando intermediarios físicos que puedan suplantar voluntades.
- Auditoría algorítmica periódica, que detecte operaciones sospechosas o firmas repetidas por el mismo operador en distintos perfiles.
- Modelos de compliance reforzado con IA, capaces de alertar sobre patrones anómalos en la obtención de consentimientos.
La tecnología existe. Lo que falta es la voluntad de aplicarla como estándar, no como excepción.
¿200.000 euros? Un precio muy económico para una vulneración de confianza
La sanción impuesta por la Agencia Española de Protección de Datos al BBVA tiene un valor simbólico. 200.000 euros es una cantidad insignificante en el balance anual de una entidad que genera miles de millones, pero representa un mensaje institucional: el consentimiento no se falsifica, no se automatiza, no se suplanta.
El banco ha alegado que “el incidente fue único” y que “existen múltiples documentos firmados correctamente”. Pero como bien señala la resolución de la AEPD, una sola vulneración basta para invalidar todo el sistema si el origen del dato no es legítimo.
En un mundo gobernado por la inteligencia de los datos, la integridad del consentimiento es el nuevo contrato social.
Este caso no debería acabar en el pago de una multa. Debería derivar en una auditoría interna profunda, una reformulación del proceso de onboarding digital, una revisión del papel que juegan los gestores en la interfaz entre cliente y tecnología. Pero, sobre todo, debería activar un debate nacional sobre cómo las instituciones gestionan los datos que les confiamos.
El ciudadano de 2025 no quiere solo servicios rápidos y apps funcionales. Quiere garantías. Quiere transparencia algorítmica, trazabilidad del consentimiento y derecho real al control de sus datos.
Estamos en una etapa crítica de la transformación digital. Cada decisión que tomemos ahora sobre cómo recogemos, validamos y tratamos los datos definirá el modelo de sociedad digital en el que vamos a vivir. El caso BBVA no es anecdótico. Es una grieta visible en un sistema que se proyecta como infalible.
Firmar por un cliente en papel hoy es tan grave como manipular una wallet de criptomonedas, suplantar una identidad digital o alterar un contrato inteligente mañana. La diferencia es que lo primero ha ocurrido ya, y lo segundo está por venir.
La firma es la frontera entre el consentimiento legítimo y el abuso del poder de los datos. Y esa frontera, en pleno siglo XXI, debe estar custodiada por la tecnología más avanzada… y por una ética que no admita excepciones.
