Empresa

CaixaBank bate el récord de multa del RGPD: deberá pagar 6 millones de euros

GDPR

La AEPD ha interpuesto una multa de 6 millones de euros contra CaixaBank, rompiendo el record que ostentaba desde hace un mes BBVA, con una sanción de 5 millones. La multa se reparte en 2 millones por una infracción leve de dos artículos del RGPD y 4 millones por una infracción muy grave de otro de estos artículos.

BBVA protagonizó a mediados del mes pasado la mayor sanción que había impuesto hasta la fecha la Agencia Española de Protección de Datos contra una compañía por vulnerar el Reglamento General de Protección de Datos (RGPD). La multa ascendió a los 5 millones de euros.

Esta semana, la AEPD ha roto su propio récord con una nueva sanción, esta vez de 6 millones de euros, y precisamente contra otra entidad bancaria española: CaixaBank.

Es lo que se desprende de la resolución que la AEPD publica este miércoles en su web. El extenso documento (177 páginas) pormenoriza las razones por la que el banco ha infringido varios artículos del reglamento europeo. En concreto, sanciona a CaixaBank con 2.000.000 euros por una infracción “leve” de los artículos 13 y 14, y con 4.000.000 por una infracción muy grave del artículo 6.

El procedimiento arranca en enero de 2018 cuando un usuario de la entidad recibe la notificación en la app de su banca móvil de que tiene que aceptar unos nuevos términos en materia de protección de datos. El reclamante expone entonces a la AEPD que CaixaBank plantea la cesión de los datos de sus clientes a todas las empresas del grupo bancario, y que para el cese del tratamiento de datos por cada una de estas empresas, los afectados tendrán que dirigirse una a una a ellas.

A juicio del reclamante, esta exigencia resultaba “desproporcionada”, tal y como recoge la resolución de la AEPD, al entender que “la cesión se acepta en un solo acto”. Por esta razón, la autoridad de protección de datos española inició un procedimiento sancionador con el que comenzó a investigar la política de privacidad de la entidad bancaria.

Poco después, en 2019, la asociación de consumidores FACUA presentaba una segunda reclamación ante CaixaBank al entender que los contratos marco que suscriben los clientes y mediante los cuales la entidad recoge los datos personales son “un contrato de adhesión cuyo contenido no puede negociarse por el consumidor”.

Dos años después, la AEPD funda la histórica y millonaria sanción en que CaixaBank ha vulnerado los artículos 6, 13 y 14 del Reglamento General de Protección de Datos. El razonamiento es que la entidad habría incumplido “los requisitos” para “la prestación de un consentimiento válido” y existieron “deficiencias en los procesos habilitados” para recabar dicho consentimiento. Además, la AEPD plantea que hubo una “cesión ilícita de datos personales a las empresas del grupo”.

Además, la AEPD también exponía que la información ofrecida en los distintos documentos y canales de CaixaBank no era uniforme y se empleó “una terminología imprecisa” para definir la política de privacidad. Tampoco detalló “las categorías de datos personales que se someterían a tratamiento” ni la finalidad del mismo ni la base jurídica que lo amparara.

“No es uniforme, ni siquiera en terminología, no se ofrece con la misma amplitud a todos los clientes y en todas las situaciones (en algunos casos se emplea el ‘Contrato Marco’ y en otros el ‘Contrato de Consentimiento’ y para otros clientes únicamente la ‘Política de Privacidad’), y no se actualiza de la misma forma en cada caso”, expone la AEPD. En su defensa, la entidad adujo que el deber de información se cumplía con el Contrato Marco “y no con el resto de documentos”, continúa la resolución.

En los fundamentos de derecho que reúne la AEPD, la agencia también discute que todas las empresas del grupo CaixaBank contemplen una “corresponsabilidad” en el tratamiento de los datos que pueda considerar lícito el compartir perfiles entre todas las sociedades del grupo.

Por todo ello, CaixaBank tiene que hacer frente a una sanción de 6 millones de euros contra la que, como también recuerda el organismo de control, cabe interponer un recurso por la vía de lo contencioso-administrativo.

“CaixaBank defiende que su actuación en materia de protección de datos personales es adecuada y conforme a las exigencias de la legislación española. La entidad recurrirá la sanción impuesta por la Agencia Española de Protección de Datos”, han asegurado fuentes de la entidad.

*Artículo original publicado por Alberto R. Aguiar en Business Insider

Te recomendamos

Sobre el autor

Business Insider