Multa histórica de la Agencia Española de Protección de Datos a Caixabank. La entidad bancaria española tendrá que hacer frente a un pago de hasta 6 millones de euros por haber vulnerado 3 artículos de la actual normativa de protección de datos. La AEPD impone una multa de 2 millones de euros por la infracción, considerada leve, de los artículos 13 y 14 del RGPD, mientras que los otros 4 llegan por saltarse el artículo 6, una vulneración calificada como muy grave por el reglamento.
Según publica la AEPD, la resolución llega tras una investigación iniciada en 2018 por una denuncia de un particular y una posterior de 2019 llevada a cabo por la asociación de consumidores FACUA contra el llamado ‘Contrato Marco’ de privacidad que deben suscribir todos los clientes de este banco. En la resolución de la Agencia, se detalla cómo la entidad bancaria, tanto en este contrato como en otros apartados, infringió los artículos y no ha corregido lo exigido por la institución.
Entre los fallos que menciona la Agencia, en lo referente a los dos primeros puntos, asegura que la información ofrecida en los distintos documentos y canales no es uniforme. Añade que se emplea una terminología imprecisa para definir la política de privacidad, hay insuficiente información sobre la categoría de datos personales que se someterán a tratamiento o se incumple la obligación de informar sobre la finalidad del tratamiento.
En cuanto al artículo 6, la AEPD asegura que Caixabank da una insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo, incumple los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada. Además, señala deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y de una cesión ilícita de datos personales a empresas del Grupo CaixaBank.
Además de la multa, la AEPD obliga a la entidad a que “en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales”.
La AEPD también hace especial hincapié en que Caixabank no ha tenido una actitud cooperante y que las correcciones efectuadas por la compañía “no constituyen una verdadera regularización de la situación irregular comprobada en el presente procedimiento sancionador. Por tanto, se desestima la solicitud de considerar tales actuaciones como una circunstancia atenuante”.
Fuente: El Confidencial