Caixabank sancionada con 6 millones de euros por infringir el RGPD

Caixabank sancionada con 6 millones de euros por infringir el RGPD
enero 15, 2021| Protección de datos

✔ Hace tan solo unas semanas, la Agencia Española de Protección de datos (en adelante AEPD) nos sorprendía sancionando a BBVA con 5 millones de euros por remitir información comercial a sus clientes sin existir un consentimiento inequívoco al efecto, siendo esta cifra la mayor de la historia en cuanto a sanciones se refería.

​Pues bien, en las últimas horas la AEPD ha vuelto a batir récords, al sancionar a la entidad CAIXABANK con la cuantía de 6 millones de euros al haber incurrido en dos infracciones en materia de protección de datos.

La indicada sanción tiene su origen en la reclamación de un usuario que alegaba que CAIXABANK le había obligado a aceptar nuevas condiciones en materia de protección de datos personales, en concreto, la cesión de sus datos personales a todas las empresas del grupo. Añadía, el usuario en la reclamación, que: “para cancelar dicha cesión debía dirigir un escrito a cada una de las empresas, lo que calificaba de desproporcionado considerando que la cesión se acepta en un solo acto.”

A la reclamación del usuario, se unió en 2019, la asociación de consumidores FACUA, al presentar otra reclamación frente a la misma entidad, al entender que los contratos marco entre CAIXABANK y sus clientes «un contrato de adhesión cuyo contenido no puede negociarse por el consumidor».

Tras analizar las alegaciones de ambos reclamantes e iniciar las correspondientes actividades instructoras, la AEPD confirma en su escrito de resolución que CAIXABANC estaba incumpliendo dos preceptos clave en materia de protección de datos:

–        Infracción LEVE de los artículos 13 y 14 del RGPD, relativos a la información que toda organización deberá ofrecer a los interesados.

Al analizar las políticas de privacidad ofrecidas por la compañía, la AEPD confirma que la información ofrecida por CAIXABANC en los distintos documentos a suscribir con sus usuarios no es clara, al utilizar terminología imprecisa y no proporcionar la información necesaria sobre el tipo de datos tratados en relación con finalidades específicas.

–        Infracción GRAVE del artículo 6 del RGPD, relativo al consentimiento.

A tenor del informe de la AEPD, CAIXABANC muestra irregularidades en los procesos implantados para recabar un consentimiento válido del usuario. Concretamente, se ceden ilícitamente datos de carácter personal entre las empresas del grupo empresarial, al no solicitar un consentimiento específico al efecto y tratando, por ende, datos sin tener la suficiente base de legitimación, especialmente los basados en el interés legítimo.

La misma resolución confirma que “de los datos que se utilizan por el Grupo CaixaBank y los usos a los que se destinan se desprende que el intercambio de toda la información entre todas las empresas que lo integran responde más a propósitos “comerciales”, ajenos a la relación contractual, como son la realización de impactos comerciales y el diseño de nuevos productos o servicios”.

En cualquier caso, la sanción aún puede recurrirse por vía contencioso-administrativa, de manera que todo apunta, a que la entidad bancaria recurrirá, al seguir defendiendo que su actuación en materia de protección de datos personales cumple con la normativa vigente en materia de protección de datos.

▸Estimado lector, ¡¡gracias por su tiempo!!