Multa récord a CaixaBank por saltarse la Ley de Protección de Datos: 6 millones de euros

Blog

Multa récord a CaixaBank por saltarse la Ley de Protección de Datos: 6 millones de euros

La Agencia Española de Protección de Datos asegura que la entidad vulneró tres de los artículos de la actual normativa, incluyendo una infracción calificada como muy grave.

Multa histórica de la Agencia Española de Protección de Datos a La Caixa. La entidad bancaria española tendrá que hacer frente a un pago de hasta 6 millones de euros por haber vulnerado 3 artículos de la actual normativa de privacidad, más conocida por las siglas del reglamento europeo, la GDPR. La agencia impone una multa de 2 millones por la infracción, considerada leve, de los artículos 13 y 14, mientras que los otros 4 millones llegan por saltarse el artículo 6, una vulneración calificada como muy grave por el reglamento.

Según publica la AEPD, la resolución llega tras una investigación iniciada en 2018 por una denuncia de un particular y una posterior de 2019 llevada a cabo por la asociación de consumidores FACUA, contra el llamado ‘Contrato Marco’ de privacidad que deben suscribir todos los clientes de este banco. En el documento de la sentencia de la agencia, que consta de 177 páginas, se detalla cómo la entidad bancaria, tanto en este contrato como en otros apartados, infringió los artículos y no ha corregido lo exigido por la institución.

Por su parte, desde CaixaBank explican al periódico El Confidencial que la entidad “defiende que su actuación en materia de protección de datos personales es adecuada y conforme a las exigencias de la legislación española”. Además, anuncian que recurrirán la sanción impuesta por la Agencia Española de Protección de Datos.

Entre los fallos que menciona la agencia, en lo referente a los dos primeros puntos asegura que hay agujeros, poniendo de ejemplo que la información ofrecida en los distintos documentos y canales no es uniforme. Añade que se emplea una terminología imprecisa para definir la política de privacidad, y que existe insuficiente información sobre la categoría de datos personales que se someterán a tratamiento, así como se incumple la obligación de informar sobre la finalidad del tratamiento.

En cuanto al punto 6, la AEPD asegura que La Caixa da una insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo, incumpliendo los requisitos establecidos para la prestación de un consentimiento válido, en tanto manifestación de voluntad específica, inequívoca e informada. Además, habla de deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y de una cesión ilícita de datos personales a empresas del Grupo CaixaBank.

Además de la multa, la AEPD obliga a la entidad a que “en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales”.

La agencia también hace especial hincapié en que Caixabank no ha tenido una actitud cooperante y que las correcciones efectuadas por la compañía no constituyen una verdadera regularización de la situación irregular comprobada en el procedimiento sancionador, por lo que no pudieron tenerse en cuenta tales circunstancias como posibles atenuantes.

Esta nueva multa récord de Protección de Datos llega apenas unos días después de que se informase otra gran resolución de la misma institución contra el BBVA, otro caso que se ha saldado con una multa millonaria, en este caso, de hasta 5 millones de euros.