fbpx

CaixaBank recibe una nueva sanción récord en protección de datos en España.

Hace unas semanas escribíamos en nuestro blog sobre la primera sanción a un banco en España por la AEPD al BBVA y, el pasado miércoles 13 de enero se produjo una nueva sanción récord en protección de datos en España a un banco: esta vez le tocó a CaixaBank.
Sede de CaixaBank. Fuente: CaixaBank

El pasado 13 de enero conocimos una nueva resolución de procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona a CaixaBank a una multa de 6.000.000 euros. De esta manera, se alcanzó una nueva sanción récord a un banco en España.

Dicha resolución presenta como hechos probados que un reclamante interpuso una reclamación ante la AEPD en relación con las nuevas condiciones en materia de protección de datos cuya aceptación le requiere aquella entidad, cuestionando la cesión de sus datos personales a todas las empresas del Grupo CaixaBank y el procedimiento para cancelar dicha cesión, por medio del cual se obliga a dirigir un escrito a cada una de las empresas del grupo. Además, la  Asociación de Consumidores y Usuarios en Acción (FACUA) presentó otra reclamación posterior en relación con el ‘‘Contrato Marco’’, que tiene lugar durante el proceso de alta del cliente, en tanto que entiende que dicho Contrato no puede negociarse por el interesado, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquél podría no tener relación.

Para la AEPD, CaixaBank ha incumplido el principio de transparencia, así como el principio de licitud del tratamiento regulado en el artículo 6 RGPD. Procediendo a una multa de 2 millones de euros por la primera infracción y 4 millones de euros por la segunda.

La AEPD en dicha resolución analiza la información aportada por CaixaBank en materia de protección de datos, a través de todos los canales empleados por la entidad; los tratamientos de datos que lleva a cabo la entidad conforme a la información ofrecida; así como el cumplimiento del resto de principios relativos al tratamiento de datos establecidos por el artículo 5 RGPD, que afirma que los datos personales serán tratados conforme a los principios de licitud, lealtad y transparencia; de limitación de la finalidad; de minimización de datos; de exactitud; de limitación del plazo de conservación; de integridad y confidencialidad; y con responsabilidad proactiva. Conviene echar un vistazo también a los Considerandos 39 y 42 del mismo RGPD, y al Título II de la LOPDGDD, donde se desarrollan dichos principios.

En base a lo anteriormente expuesto, la AEPD en la resolución que hoy analizamos entiende que la información en materia de protección de datos ofrecida a los clientes de CaixaBank no es uniforme en la terminología, no se ofrece con la misma amplitud a todos los clientes y en todas las situaciones, y no se actualiza de la misma forma en cada caso. Además, afirma la AEPD que la terminología utilizada por CaixaBank es imprecisa y que emplea unas formulaciones vagas (expresiones como ‘‘conocerte mejor’’, ‘’personalizar su experiencia’’, ‘’mejorar el diseño y usabilidad de los productos’’… dan prueba de ello, a ojos de la AEPD), teniendo como consecuencia que dicha terminología es ajena al cumplimiento del principio de transparencia. Por otro lado, entiende la AEPD que la información sobre los datos personales, la finalidad del tratamiento, las bases legitimadoras y la información sobre el ejercicio de Derechos difiere de lo establecido en el RGPD, incluso aprecia la AEPD que existen tratamientos de datos sin base jurídica, entre otras cuestiones.

La AEPD requiere a CaixaBank que en un plazo de seis meses adecúe la normativa de Protección de Datos debiendo justificar dicha adecuación ante la misma agencia.

Como consecuencia de lo anterior, entiende la AEPD que ha resultado acreditado el incumplimiento del principio de transparencia establecido en los artículos 12, 13 y 14 RGPD, así como el incumplimiento del principio de licitud del tratamiento regulado en el artículo 6 RGPD, lo que supone la comisión de sendas infracciones tipificadas en el artículo 83.5 RGPD (artículo 71 LOPDGDD). En este caso, considerando la gravedad de las infracciones constatadas procede la imposición de una multa de 2.000.000 euros por la primera infracción y una multa de 4.000.000 euros por la segunda.

Además, la AEPD requiere a CaixaBank para que en un plazo de seis meses adecúe a la normativa de Protección de Datos las operaciones de tratamiento que realiza, la información ofrecida a sus clientes, el procedimiento mediante el cual los mismos prestarán su consentimiento para la recogida y tratamiento de sus datos personales, debiendo justificar dicha adecuación ante la misma agencia.

Si tienes dudas sobre si tu empresa cumple o no con los principios de transparencia y licitud de los datos, no dudes en consultarnos. En NIVOLAP – Abogacía Digital, Empresa y Startups estaremos encantados de resolveros las dudas que podáis tener, así como implementar en vuestra empresa unas políticas de protección de datos acordes a la legislación vigente.

Compártelo en tus redes sociales
Ir arriba
Abrir chat
¡Hola! Encantados de conocerte.

¿En qué podemos ayudarte?

También, puedes llamarnos al 611 69 91 74 o mandarnos un e-mail a contacto@nivolap.es.

Equipo de Nivolap Abogacía Digital.