La Agencia Española de Protección de Datos impone la mayor multa de su historia a Caixabank por tratar datos de sus clientes sin consentimiento válido y por informarles inadecuadamente sobre el tratamiento.
Se trata de dos multas de cuatro y dos millones de euros por una infracción muy grave y por otra leve respectivamete, al realizar un tratamiento ilícito de los datos personales de sus clientes.
Los hechos
El 24 de enero de 2018, un cliente puso una reclamación a la AEPD indicando que la entidad le imponía «la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas de su grupo».
En su reclamación, el cliente añadía que, para cancelar la cesión de sus datos, debía dirigir un escrito a cada una de las empresas, lo cual calificó de «desproporcionado» puesto que «la cesión se acepta en un solo acto».
La Agencia realizó sus comprobaciones y pudo constatar que Caixabank obtenía un gran número de datos personales de los clientes. Datos identificativos, fiscales, de contacto, socioeconómicos, de situación financiera, objetivos de inversión… Además de la recogida de autorización para la utilización de los datos con fines comerciales.
Infracción de los arts. 6, 13 y 14 del RGPD
En primer lugar, se vulneran los artículos 13 y 14 del Reglamento, relativos a la información que debe facilitarse al interesado cuando se obtengan o no del mismo.
Caixabank incumple los preceptos puesto que para informar a los clientes se utilizaba una terminología imprecisa para definir la política de privacidad, así como de insuficiente información sobre la categoría de datos personales que se someterán al tratamiento. Junto con la falta de información «sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar».
Caixabank no informaba de forma adecuada a los clientes en el momento de obtener sus datos personales, por ello se le impone una infracción leve de dos millones de euros.
Por otro lado, infringe el artículo 6 del RGPD, que regula la licitud del tratamiento de datos. Concretamente, Caixabank no obtiene un consentimiento válido de sus clientes.
Según la Agencia, «se han incumplido los requisitos establecidos para la prestación de un consentimiento válido». En concreto, considera que no ha existido una «manifestación de voluntad específica, inequívoca e informada».
En relación a la cesión de datos, considera que hubo «deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales”, obligándoles a realizar “cesión ilícita de datos personales a empresas del Grupo CaixaBank”.»
Caixabank obtenía un consentimiento inválido de sus clientes puesto que no se realizaban de forma específica, inequívoca e informada, por ello se le impone una infracción muy grave de cuatro millones de euros.
Por todo esto se le impuso esta multa récord a Caixabank de 6 millones de euros. Puedes ver la resolución completa y ver más artículos en los siguientes enlaces:
